Vous êtes sur la page 1sur 48

REPUBLIQUE DU CAMEROUN REPUBLIC OF CAMEROON

Paix – Travail – Patrie Peace – Work – Fatherland


---------- ----------
AGENCE NATIONALE DES TECHNOLOGIES NATIONAL AGENCY FOR INFORMATION
DE L'INFORMATION ET DE LA COMMUNICATION AND COMMUNICATION TECHNOLOGIES

AUDIT DE SECURITE DU SYSTEME----------

DIVISION DE L’AUDIT DE SECURITE


----------

DIVISION OF SECURITY AUDIT

D’INFORMATION DE LA CAMEROON
RADIO TELEVISION (CRTV)
PLAN D’ACTIONS CORRECTIVES
Ce document présente les vulnérabilités décelées au cours de la mission d’audit de sécurité du Système d’Information de la CRTV suivant
les axes Organisationnel, Physique et Technique, met en exergue les risques encourus et les contre-mesures à implémenter pour mitiger
ces risques. Il identifie également les structures en charge de la mise en œuvre de ces recommandations dans le temps.

hamadou souleymanou

1
Audit de sécurité du système d’information de la CRTV : Plan d’actions correctives

LEGENDES

CRITIQUE

ELEVE ORGANISATIONNEL
MOYENNE PHYSIQUE
FAIBLE TECHNIQUE

Criticité du risque Axe d’audit

SIGLES :

DSI : Direction des Systèmes d’Information CM/DCR : Comptable-Matières

DAF : Direction de l’Administration et des Finances

DRHS : Ressources Humaines Et de la Stratégie Sociale

SI : Système d’Information

SSI : Sécurité des Systèmes d’Information

2
ANTIC (Agence Nationale des Technologies de l’Information et de la Communication)
Audit de sécurité du système d’information de la CRTV : Plan d’actions correctives

ISO International Standard Organization

DAI: Division Audit Interne

Charge Responsabi
Axe N° Vulnérabilités Risques Criticité Recommandations
(J-H) lités

Risque d’ignorance et de Mettre en place un plan de gestion des risques (PGR) qui
Organisationnel

négligence de plusieurs identifie, évalue et priorise les risques relatifs aux


risques afin de les traiter activités de la CRTV, pour les traiter méthodiquement de
méthodiquement de manière
Inexistence d’un plan global de gestion des manière coordonnée et économique, de manière à réduire
coordonnée et économique,
risques relatifs au système d’information de manière à réduire et et contrôler la probabilité des événements redoutés, et
DAI
1. intégrant l’identification, l’appréciation, contrôler la probabilité des réduire l'impact éventuel de ces événements. Décliner le 180 J/H
l’évaluation et le traitement des risques relatifs événements redoutés et de plan de gestion des risques spécifiques au SI /DSI
au système d’information ; réduire l'impact éventuel de
ces événements

.
Méconnaissance des risques
majeurs pouvant impacter
Absence de plan et d'un mécanisme de négativement le Mettre en place au sein de la DAI, un plan global de
DAI
2. sensibilisation des employés en rapport avec les fonctionnement de sensibilisation et de formation des usagers sur les risques 90 J/H
risques métiers ; l’entreprise et causer des métiers par domaine d’activité ;
pertes

Risque de mise en place Mettre en place un SoA dans lequel seront identifiés tous
3. 120 J/H DSI
Inexistence d’un Statements of Applicabilities d’exigences de sécurité non les contrôles exigés dans le cadre de la sécurité du SI de
(SoA) conformes aux risques et en la CRTV en raison de la loi, des exigences /DAI
inadéquation avec les
contractuelles, des exigences normatives et en raison
objectifs stratégiques de la
CRTV ; d'autres processus. Ce document devra également
expliquer et justifier l'exclusion de certains contrôles
issus de la norme mère ainsi l'inclusion de nouveaux

3
ANTIC (Agence Nationale des Technologies de l’Information et de la Communication)
Audit de sécurité du système d’information de la CRTV : Plan d’actions correctives

Charge Responsabi
Axe N° Vulnérabilités Risques Criticité Recommandations
(J-H) lités

contrôles provenant d'autres sources à citer. Enfin, le


SoA doit documenter si chaque contrôle applicable est
déjà implémenté ou non

Atteinte à la sécurité, à la
Organisationnel

confidentialité, à l’intégrité Mettre en place une politique de sécurité du système


Inexistence d’un document décrivant la et à la non répudiation de
d’information (PSSI) qui détermine les objectifs en
politique de sécurité des systèmes d'information l’information, lors des
différents processus de termes de sécurité à atteindre, définit la sécurité à mettre
et, en particulier, les principes d'organisation,
traitement des données et en oeuvre, les processus de sécurité physique, logique et
de gestion et de pilotage de la sécurité (rôles et
4. présence de nombreuses des réseaux en cohérence avec la stratégie métier de la 260 J/H DSI
responsabilités) ainsi que les principes insuffisances dans la mise CRTV; Aligner cette Politique à un système de
fondamentaux structurant le management de la en place des objets et/ou des management de la sécurité de l’information à l’instar de
sécurité de l'information ; services relevant du
la norme ISO 27001 ;
domaine de la sécurité de
l’information

Inexistence de politiques spécifiques et de Divergence de vue et de Elaborer tous les documents de politiques, de
5. 240 J/H DSI
procédures encadrant la sécurité des SI en suivi efficace de tous les procédures, de guidelines accompagnant la PSSI et
appui à la politique de sécurité (PSSI). aspects de la sécurité. définir une procédure de rédaction et de validation de ces
documents ; les documents suivants sont à élaborer :
politique de gestion des mots de passe, politique de
gestion et stockage des disques amovibles ; politique de
contrôles d’accès, politique de gestion des applications,
politique des systèmes et support IT, politique de gestion
acceptable du matériel et des logiciels, politique de
gestion des accès utilisateurs et systèmes, politique de
classification des informations, politique de gestion des
logs liés au SI, politique de réponse aux incidents de
sécurité, politique de cyber sécurité, politique de
changement des infrastructures et systèmes IT, politique

4
ANTIC (Agence Nationale des Technologies de l’Information et de la Communication)
Audit de sécurité du système d’information de la CRTV : Plan d’actions correctives

Charge Responsabi
Axe N° Vulnérabilités Risques Criticité Recommandations
(J-H) lités

de cryptage, politique de gestion des équipements


mobiles et de la procédure de gestion des exceptions.
Procéder à la diffusion de tous ces documents à
l’ensemble du personnel autorisé, sensibiliser ce
personnel à leur mise en oeuvre et les réviser suivant la
période définie.

ORGANISATION DE LA SECURITE DE L’INFORMATION


Divergence de vue et de Procéder à l’implémentation du Schéma directeur
Inexistence d’un plan de modernisation du suivi efficace de tous les informatique déjà élaboré et élaborer un document qui
Système d’Information et non mis en oeuvre du aspects de la sécurité ; détaille le mode de gestion de la sécurité et les processus
6. Schéma directeur informatique pourtant prévu de prise de décision : méthodologie (audit de 180 J/H DG
pour la période 2018-2020 ; vulnérabilité, analyse des risques..) outils associés,
acteurs

Absence d’une coordination Mettre en place un comité de pilotage de la sécurité du


véritable de la stratégie de SI afin de mieux coordonner les activités liées à la
sécurité du Système sécurité du SI ; Ce comité devrait, entre autres, veiller à
Inexistence d’un Comité formel de d’Information l’élaboration et la mise en oeuvre de toute la
DG
7. management de la sécurité du SI de la CRTV documentation en matière de SSI, à l’évaluation 90 J/H
régulière de la maturité de la SSI, à la maitrise des /DAI
menaces éventuelles et au renforcement des capacités
des acteurs du SI

Absence d’une Charte d’utilisation des TIC ; Atteinte à l’intégrité, à la Procéder à l’élaboration d’une charte globale
8. 90 J/H DSI
disponibilité et à la d’utilisation des TIC
confidentialité des
informations

5
ANTIC (Agence Nationale des Technologies de l’Information et de la Communication)
Audit de sécurité du système d’information de la CRTV : Plan d’actions correctives

Charge Responsabi
Axe N° Vulnérabilités Risques Criticité Recommandations
(J-H) lités

Mauvaise utilisation des Elaborer une procédure de classification de l’information


TIC et procéder à la classification suivant les critères de
Non classification de l’information suivant des
confidentialité (Plus l’impact d’une divulgation est DSI
9. niveaux hiérarchiques de sécurité ; 120 J/H
important, plus la classification de confidentialité devra
/DAI
être élevée)

Atteinte à l’intégrité, à la Assurer la veille technologique en matière de sécurité


disponibilité et à la (participation à des cercles de réflexion, associations,
Faible niveau de veille technologique en confidentialité des forums internationaux, recherche sur Internet, séminaires
10. matière de sécurité informations sur la SSI notamment ceux organisés par l’ANTIC...) 90 J/H DSI
afin d’être informé de nouvelles menaces et solutions
technologiques

Absence d’une procédure et de règles Risque d’ignorance


Mettre en oeuvre une politique de transport et de
spécifiques en matière de destruction sécurisée d’informations stratégiques
destruction sécurisée des contenus de corbeilles et établir DG
11. du contenu des corbeilles et d’impression des sur la sécurité des systèmes 60 J/H
des règles relatives à l’impression des documents
documents sensibles et les nouvelles menaces /DSI

Inexistence d’un document définissant les Accès des données


Mettre en place un document définissant les règles
règles générales à appliquer en ce qui concerne confidentielles se trouvant
générales à appliquer en ce qui concerne les DG
les développements informatiques et la prise en dans les corbeilles aux
12. développements informatiques (interne et externe) et la 180 J/H
compte de la sécurité dans la gestion des projets personnels du service de
prise en compte de la sécurité dans la gestion des projets /DSI
; nettoyage

6
ANTIC (Agence Nationale des Technologies de l’Information et de la Communication)
Audit de sécurité du système d’information de la CRTV : Plan d’actions correctives

Charge Responsabi
Axe N° Vulnérabilités Risques Criticité Recommandations
(J-H) lités

Développement
Organisationnel

Inexistence de procédures ou d’instructions informatique non coordonné Elaborer une procédure ou des instructions formelles en
13. formelles en matière de télétravail et négligence de la sécurité matière de télétravail 30 J/H DAF
dans ledit processus

Procéder à la réorganisation de la Division des Systèmes


Absence de responsables désignés dans tous les Risque de diffusion d’Information (DSI) de manière à couvrir tous les
domaines de la sécurité et de correspondants volontaire ou involontaire aspects du système d’information : Administration de DG
14. sécurité au niveau des directions des informations sensibles bases de données, Administration systèmes, 180 J/H
opérationnelles et des Antennes de l’entreprise conservées à Administration réseaux, Administration d’applications, /DSI
domicile Help desk, Gouvernance et sécurité du SI etc

Risque de négligence de la
Faire valider, la politique de sécurité des SI ainsi que
sécurité par les unités
Inexistence de coopération avec l’ANTIC et le toutes les politiques et procédures par la Direction
opérationnelles et de
CIRT en particulier sur la gestion des incidents Générale, sensibiliser le personnel à la mise en oeuvre de
15. divergence de vue et de 30 J/H DSI
de sécurité. celles-ci politique et les réviser sur une période bien
suivi efficace de tous les
définie
aspects de la sécurité

SECURITE DES RESSOURCES HUMAINES


Inexistence d’un recueil d’informations Risque de recrutement à des Mettre en place un recueil d’informations spécifiques à
16. 180 J/H DRHS
spécifiques à l'embauche de personnel pouvant taches sensibles de l'embauche de personnel pouvant être amené à travailler
être amené à travailler sur des tâches sensibles : personnels non compétents sur des tâches sensibles (accès aux données, DSI,
accès aux données critiques, à la production, à
ou non intègres ; Direction de la Diffusion et des retransmissions,
la diffusion, aux finances, à la comptabilité, etc
Direction des Ressources Humaines et de la Stratégie
Sociale, Direction de l’Administration et des Finances,
etc.) imposant l’obligation de loyauté et la
communication de tous les éléments permettant de
vérifier l'existence et la réalité des qualifications

7
ANTIC (Agence Nationale des Technologies de l’Information et de la Communication)
Audit de sécurité du système d’information de la CRTV : Plan d’actions correctives

Charge Responsabi
Axe N° Vulnérabilités Risques Criticité Recommandations
(J-H) lités

professionnelles :
 Extraits du casier judiciaire si les exigences
attachées au poste l'imposent ;
 Absence de toute clause de non-concurrence,
etc

Risque de divulgation
Inexistence d’un recueil de clauses de sécurité d’informations sensibles de Mettre en place un recueil de clauses de sécurité
spécifiques et particulières à faire signer à tout la CRTV par un employé ou spécifiques et particulières (hors contrat) à faire signer à
17. personnel et à tout prestataire pouvant être un prestataire du fait tout personnel et à tout prestataire pouvant être amené à 120 J/H DRHS
amené à travailler sur des tâches sensibles l’absence d’obligation de travailler sur des tâches sensibles
Organisationnel

réserve

Inaptitude des personnels à


Faible niveau de formation destinée aux Renforcer le niveau de formation du personnel de la DSI
faire face aux défis
personnels de la DSI et aux autres employés de en matière de SSI et choisir des contenus cadrant avec
sécuritaires dans tous les
la CRTV et intégrant des aspects liés à la les besoins du SI de la CRTV et les profils des
18. domaines (Application, 240 J/H DRHS
Sécurité du SI et des réseaux de personnels concernés, y intégrer des formations avec
communications électroniques Bases de données, Réseaux,
certification (CEH, CCSP, ISO 27001, etc ...)
Télécommunications, etc.)

Inexistence d’un programme de sensibilisation Comportements à risque des Etablir un programme de sensibilisation à la sécurité de
Organisationnel

19. 120 J/H DRHS


du personnel en général aux risques d’accident, utilisateurs exposant ainsi le l’information qui soit cohérent avec les politiques de
d’erreur et de malveillance relatifs au SI du fait de leur ignorance l’organisation relatives à la sécurité de l’information et /DSI
traitement de l’information
; avec les procédures associées sensibiliser régulièrement
les utilisateurs aux bonnes pratiques dans l’exploitation
des TIC, la cybercriminalité et les aspects réglementaires
et légaux en vigueur et mettre en place un dispositif
coercitif visant à les y contraindre ;

8
ANTIC (Agence Nationale des Technologies de l’Information et de la Communication)
Audit de sécurité du système d’information de la CRTV : Plan d’actions correctives

Charge Responsabi
Axe N° Vulnérabilités Risques Criticité Recommandations
(J-H) lités

Insuffisance du personnel dans plusieurs Rendement faible de


Recruter ou affecter des staffs supplémentaires au sein de DRHS
structures en fonction des missions à leur certains employés du fait de
20. assignées (DSI,, etc…) la DSI 180 J/H
la surcharge d’activités
/DSI

GESTION DES ACTIFS


Inadéquation entre la Identifier formellement dans un document tous les types
criticité de l’équipement, d’actifs du SI de la CRTV pouvant être identifiés et
l’exploitation et la inventoriés. Les actifs peuvent être des informations
maintenance qui en (bases de données, fichiers, contrats et accords,
Inexistence d’un document présentant les types découlent ; documentation, manuels, procédures, plans, archives, CM/DCR
d’actifs du SI de la CRTV pouvant être etc.), des logiciels (applications, firmware, middleware, /DSI
21. 60 J/H
inventoriés outils et utilitaires, etc.), des équipements matériels
(ordinateurs, équipements de réseau, media, etc.), des
services et servitudes (énergie, chauffage, climatisation,
etc.), des personnes ou du savoir-faire, des actifs
intangibles tels que la réputation ou l'image

Absence d’états statistiques Formaliser l’inventaire et la classification des actifs CM/DCR


Organisationnel

22. 240 J/H


Inexistence d’un document formel contenant la clairs et à jour sur les informationnels tout en les pondérant par leur niveau de /DSI
classification des actifs informationnels de la équipements, leurs risque, dans l’optique d’une meilleure gestion des
CRTV en fonction de leur criticité et de leur caractéristiques, leur incidents et d’une priorisation des actions de
impact sur le SI et les réseaux de emplacement, les incidents maintenance ; Prendre en compte les critères de sécurité
communications électroniques
subis, perte de matériel due à savoir la Disponibilité, l’Intégrité et la Confidentialité
à la non traçabilité de ces dans la classification des informations :
derniers Plus l’impact d’une divulgation est
important, plus la classification de
confidentialité devra être élevée ;
Plus l’impact d’une perte en cas de
compromission d’un actif est important, plus la
classification d’intégrité devra être élevée ;
Plus l’impact en cas d’entrave prolongée à

9
ANTIC (Agence Nationale des Technologies de l’Information et de la Communication)
Audit de sécurité du système d’information de la CRTV : Plan d’actions correctives

Charge Responsabi
Axe N° Vulnérabilités Risques Criticité Recommandations
(J-H) lités

l’accès légitime à l'actif est critique, plus la


classification de disponibilité devra être élevée.

N.B : Il convient d’indiquer que l’inventaire des actifs


doit être précis, à jour, cohérent et en adéquation avec
les autres inventaires.
Protection disproportionnée
Rédiger et diffuser les règles de sécurité dans l’utilisation CM/DCR/
Inexistence de règles d’utilisation acceptables à des actifs
23. des équipements 90 J/H
destination du personnel d’exploitation
DSI

Risque de perte d’actifs


Non définition des règles formelles concernant Formaliser le processus de sortie et de restitution des
la sortie des actifs et le retour à l’entreprise des actifs appartenant à la structure et confiés aux employés
24. 90 J/H CM/DCR
biens confiés au personnel, lors de cessation ou dans le cadre de l’exercice de leurs missions
de changement d’activité,
Organisationnel

Mettre en place un système de Gestion Electronique des


Inexistence d’un système de Gestion Risque de gestion Documents associé à une application de gestion des DAF
25. Electronique des Documents désordonnée et de perte des actifs, du patrimoine et du parc informatique à l’instar de 90 J/H
actifs GLPI. /DSI

RELATION AVEC LES FOURNISSEURS


Inexistence d’un recueil ou d’une BD des Pertes énormes en cas de Mettre en place un recueil ou une BD des prestataires
prestataires stratégiques dans chacun des départ du prestataire ou de stratégiques dans chacun des domaines critiques de
26. 180 J/H DAF
domaines critiques de l’entreprise ; problèmes contractuels l’entreprise

10
ANTIC (Agence Nationale des Technologies de l’Information et de la Communication)
Audit de sécurité du système d’information de la CRTV : Plan d’actions correctives

Charge Responsabi
Axe N° Vulnérabilités Risques Criticité Recommandations
(J-H) lités

Aucune procédure d’analyse de risques liés aux Possibilité pour un


Définir une procédure d’analyse de risques liés aux accès
accès de tierces personnes au système prestataire d’avoir accès à
de tierces personnes au système d’information ou aux DAF
d’information ou aux locaux contenant de certaines informations
27. locaux contenant de l’information et définissant en 120 J/H
l’information et définissant en conséquence les sensibles de la CRTV
conséquence les mesures de sécurité nécessaires ; /DAI
mesures de sécurité nécessaires

Aucune procédure d’analyse de risques liés au Risque de divulgation Définir une procédure d’analyse de risques liés au
transfert d’informations ou de logiciels avec un d’informations sensibles en transfert d’informations ou de logiciels avec un tiers
28. externes 90 J/H DAF
tiers

Risque de non-respect par Elaborer un document décrivant l’ensemble des clauses


Inexistence d’un document décrivant
des prestataires des règles de sécurité que devrait comprendre tout accord signé
l’ensemble des clauses de sécurité que devrait
de sécurité de l’entreprise avec un tiers impliquant un accès au système
comprendre tout accord signé avec un tiers
29. d’information ou aux locaux contenant de l’information.
Organisationnel

impliquant un accès au système d’information 240 J/H DAF


Faire signer ce document à tout prestataire
ou aux locaux contenant de l’information
contractuellement lié à la CRTV

Rupture de service Acquérir des serveurs de grandes capacité pour la


conservation des images issues des camérass de
Dépendance du service de sécurité et de vidéosurveillance et procéder au recrutement et à la
gardiennage de la CRTV au prestataire en formation de deux personnels minimum en charge de DAF
30. 240 J/H
charge de la vidéo surveillance l’administration et de la gestion des caméras
/DSI

Sécurité physique et environnementale

11
ANTIC (Agence Nationale des Technologies de l’Information et de la Communication)
Audit de sécurité du système d’information de la CRTV : Plan d’actions correctives

Charge Responsabi
Axe N° Vulnérabilités Risques Criticité Recommandations
(J-H) lités

Inexistence d’un système de gestion Difficulté de gestion des Mettre en place dans toutes les branches stratégiques un
automatisée (contrôle, authentification, entrées (heure d’arrivée, système biométrique de gestion automatisée des entrées
identification) des entrées au site principal de heure de départ, sorties, aux sites permettant de contrôler les mouvements des
31. 240 J/H DAF
Mballa II, à la Radio, à la Direction Régionale entrées…) personnels (heure d’arrivée, heure de départ, sortie,
du Littoral et dans les stations de diffusion ; entrée, etc…) et de filtrer les entrées

Possibilité pour un intrus de


Inexistence de procédures de gestion des accès Rédiger une procédure d’accès physique destinés à tous
pénétrer dans les zones
32. physiques les personnels et aux prestataires 90 J/H DAF
sensibles

Mettre en place des locaux techniques conformes à la


Locaux techniques globalement non conformes Dommages et pertes graves norme ISO 27001 en tenant compte des
33. aux standards de sécurité minimale en cas d’incident de sécurité recommandations consignées dans la partie « Audit 240 J/H DSI
physique »

Risques d’intrusions non Conserver une trace des actions effectuées par les
Absence de journalisation des accès aux locaux
contrôlées au local personnels qui accèdent à la salle serveurs et les analyser
34. techniques informatique et de diffusion 30 J/H DSI
technique régulièrement

Absence d’Agents de sécurité dans certaines Risque d’intrusion dans le Installer à toutes les entrées au siège, des agents de
35. entrées stratégiques de la CRTV bâtiment de la CRTV sécurité 60 J/H DAF

Inexistence d’une procédure de gestion des Confusion en cas d’alerte Elaborer un document définissant les règles générales à
alertes et absence d’un cahier de consigne appliquer au quotidien dans la gestion de
36. précisant pour chaque type d’alerte, la conduite l'environnement de travail (documents, bureau propre, 240 J/H DAF
à tenir micro-informatique, téléphone, fax, etc.)

12
ANTIC (Agence Nationale des Technologies de l’Information et de la Communication)
Audit de sécurité du système d’information de la CRTV : Plan d’actions correctives

Charge Responsabi
Axe N° Vulnérabilités Risques Criticité Recommandations
(J-H) lités

Absence d’un document définissant les règles Faiblesse de rendement du Mettre en place une procédure de gestion des alertes
générales à appliquer au quotidien dans la fait de l’environnement de décrivant pour chaque type d’alerte la conduite à tenir
gestion de l'environnement de travail travail
37. 120 J/H DAF
(documents, bureau propre, micro-
informatique, téléphone, fax, etc.)

Système d’accès biométrique de la MATRICE Risque d’intrusion non Procéder à la réparation et à la mise en place du système
contrôlées d’accès biométrique à la MATRIX, limiter les accès aux DAF 
38. défectueux 180 J/H
seules personnes autorisées /DSI

Accélérer le projet de réfection et de mise en place de


locaux techniques informatiques du sous-sol de
l’immeuble siège - Mettre en place à terme un véritable
Lenteur dans le processus
Lenteur dans le processus d’emménagement Datacenter comprenant l’ensemble des équipements
d’informatisation de la
39. des locaux techniques informatiques techniques informatique, de diffusion et de production de 180 J/H DSI
CRTV
la CRTV – Construire un site de réplique (Backup) dans
Physique

la ville de Douala pouvant permettre d’assurer une


continuité effective du service

Automatiser le système de production des badges


Défaillance du système de production et de Risque de falsification et d’accès aux locaux de la CRTV en les rendant
40. sécurisation des badges d’usurpation des badges biométriques et définissant des procédures claires 90 J/H DAF
d’élaboration de ces badges

Possibilité pour un visiteur Concevoir des badges pour tous les types de personnes
Inexistence de badges pour visiteurs et autres de se retrouver dans des accédant aux locaux dans le Siège et dans toutes les
41. profils autres que les employés zones sensibles d’un point 120 J/H DAF
agences et autres stations de diffusion
de vu sécuritaire

13
ANTIC (Agence Nationale des Technologies de l’Information et de la Communication)
Audit de sécurité du système d’information de la CRTV : Plan d’actions correctives

Charge Responsabi
Axe N° Vulnérabilités Risques Criticité Recommandations
(J-H) lités

Insuffisance de cameras de vidéo surveillance


Procéder à l’installation de caméras supplémentaires
pour l’ensemble des sites à couvrir dont
Risque d’intrusion non dans certaines zones sensibles de l’entreprise à savoir :
l’entrée principale, la radio, la station
42. détectée l’entrée principale, le Pole Radio à Nlonkak et les 120 J/H DAF
d’émission de Mbankolo, la Direction régionale
Stations de diffusion FM et TV
du Littoral, etc…

Acquérir des serveurs, des Disques durs et des bandes de


Faible capacité de conservation des données Perte de données et stockage externes des données issues des caméras de DAF
issues des caméras de vidéosurveillance et forte divulgation d’information
43. vidéosurveillance et stocker ces données dans un local 240 J/H
dépendance à un tiers de façon informelle en externe sécurité au sein de la CRTV ; /DSI

Insuffisance du personnel en charge de la Faible rendement Renforcer le personnel en charge de la gestion de la


sécurité physique et environnementale et vidéosurveillance, recruter et désigner dans Agences
absence de Responsables de la sécurité régionales des Responsables en charge de la sécurité
44. 180 J/H DRHS
physique dans les agences régionales et les physique
stations importantes de diffusion
Physique

Limitation des pouvoirs du service en charge de Faible rendement d’activités Transformer le service de sécurité et de nettoyage en
la sécurité du service Département directement rattaché à la Direction DG
45. 90 J/H
Générale /DRHS

Inexistence de procédures claires en matière de Risque de sabotage, vol et Définir une procédure d’établissement, de changement et
gestion des accès et des badges autres actes répréhensibles révocation des badges de service ainsi que les procédures
46. de gestion des accès physique ( zone de sécurité, 120 J/H DAF
personnels autorisés, conditions d’accès, horaires, etc…)

Inexistence d’une procédure et des moyens de Destruction de documents Acquérir des moyens de destruction de documents
sensibles du fait de la (déchiqueteuse par exemple) et élaborer des procédures DAF
47. destruction des documents 180 J/H
mauvaise conservation de destruction de document /DSI

14
ANTIC (Agence Nationale des Technologies de l’Information et de la Communication)
Audit de sécurité du système d’information de la CRTV : Plan d’actions correctives

Charge Responsabi
Axe N° Vulnérabilités Risques Criticité Recommandations
(J-H) lités

Centre de diffusion de Mbankolo


L’absence de dispositif anti-
inondation dans les locaux
techniques rend lesdits
locaux complètement
Implémenter des dispositifs anti-inondation dans les
Inexistence de systèmes de détection vulnérables en cas
d’inondations d’inondation, ce qui peut
locaux techniques du Centre Pilote de Diffusion de CD/FMTV/
48. MBANKOLO 240 J/H
causer la destruction ou
l’indisponibilité temporaire
PHYSIQUE

des actifs et perturber le


fonctionnement interne

L’absence de dispositif anti-


humidité dans les locaux
techniques rend lesdits
Mettre en place des dispositifs anti-humidité dans les
Inexistence de systèmes de détection locaux complètement
d’humidité vulnérables en cas
locaux techniques du Centre Pilote de Diffusion de CD/FMTV/
49. MBANKOLO 240 J/H
d’humidité, ce qui peut
affecter le fonctionnement
des équipements

15
ANTIC (Agence Nationale des Technologies de l’Information et de la Communication)
Audit de sécurité du système d’information de la CRTV : Plan d’actions correctives

Charge Responsabi
Axe N° Vulnérabilités Risques Criticité Recommandations
(J-H) lités

Une vitre peut être brisée à


des fins malveillantes peut
entrainer un accès non Mettre en place des portes robustes répondant aux
autorisé, la destruction des standards de sécurité précises dans les locaux disposant CD/FMTV/
50. Présence d’ouvertures en vitre
actifs et les activités de portes en bois ou en vitres 180 J/H
malveillantes dans le local
technique

Risque d’intrusion de Eclairer l’ensemble du site du Centre Pilote de Diffusion


CD/FMTV/
51. Site complètement obscure personnes malveillantes de MBANKOLO.
90 J/H

Station terrienne

Difficulté à retracer les Mettre en place un système d’enregistrement des accès et


52. Non utilisation d’un journal d’accès
activités de ceux qui entrent veiller à l’utilisation systématique du journal d’accès à la 90 J/H CD/FMTV/
dans la station station terrienne

Intrusions illicites dans la Implémenter un système d’authentification dual-facteur CD/FMTV/


PHYSIQUE

53. 120 J/H


Absence d’authentification à double facteurs salle avec des conséquences en utilisant les clés de la porte afin de limiter les
qui peuvent s’avérer graves possibilités qu’une personne non habilitée accède à la
station

Il n'est fait aucun Mettre en place de caméra vidéo à l'intérieur de la station CD/FMTV/
54. 240 J/H
Absence de caméra vidéo à l'intérieur de la enregistrement vidéo dans terrienne et confier la supervision des systèmes de
station le local permettant de vidéosurveillance à un personnel dégagé de toutes autres
déceler d’éventuelles responsabilités

16
ANTIC (Agence Nationale des Technologies de l’Information et de la Communication)
Audit de sécurité du système d’information de la CRTV : Plan d’actions correctives

Charge Responsabi
Axe N° Vulnérabilités Risques Criticité Recommandations
(J-H) lités

actions illicites

Possibilité d’incendies dans


les locaux techniques due à Dégager la salle de tous les éléments inflammables et CD/FMTV/
55. Présence des matières inflammables
la présence des matières dédier ce local technique uniquement aux équipements 60 J/H
inflammables de diffusion.

Locaux techniques informatique Mballa II &Nlonkak


A court terme, mettre en place un projet de réhabilitation
de tous les locaux informatiques de la CRTV, en
Locaux globalement non conformes aux règles Perte de données, incendies, implémentant les règles minimales de sécurité (gestion
minimum de sécurité physique et lenteur dans la réalisation des accès, gestion de la sécurité environnementale, DG /
56. environnementale des taches, gestion manuelle vidéosurveillance, …) A long terme, évaluer la 120 J/H
des processus possibilité de construire un unique Datacenter à Yaoundé DSI
avec une réplique à Douala devant conserver tous les
équipements informatiques et de diffusion TV/FM.

Gestion manuelle des


Inexistence de locaux techniques informatiques Mettre en place un local informatique au sein de la
processus
au sein de la Direction régionale du Littoral et Direction Régionale du Littoral et des salles serveurs
57. DAF
dans les Stations régionales dans les stations régionales. 240 J/H
/DSI

SECURITE LIEE A L’EXPLOITATION


Inexistence d’un plan global et d’un système Non continuité de service
Technique

Mettre en place un système d'industrialisation des


58. d'industrialisation des sauvegardes en cas d’incidents majeurs 180 J/H DSI
sauvegardes et de conservation locale des données
Absence d’un recueil de procédures Possibilité fortuite Mettre en place toutes procédures opérationnelles
59. 240 J/H DAF
documentées d’exploitation au sein de la DSI et d’introduire des failles de relevant du domaine de l’exploitation au sein de toutes
dans toutes les autres structures auditées sécurités dans le système directions opérationnelles de la CRTV

17
ANTIC (Agence Nationale des Technologies de l’Information et de la Communication)
Audit de sécurité du système d’information de la CRTV : Plan d’actions correctives

Charge Responsabi
Axe N° Vulnérabilités Risques Criticité Recommandations
(J-H) lités

d’information
/DSI
Gestion désordonnée des Elaborer le plan de gestion des configurations et mettre
Absence d’un plan de gestion des
configurations en place un CMDB (Configuration Management Data
60. configurations 90 J/H DSI
Base)

Risque de perte des données


Inexistence d’une politique claire de gestion
dû à la forte potentialité de Mettre en place une politique/ procédure claire en DSI
des sauvegardes et de bandes et disques de
61. variation de la procédure de matière de gestion des sauvegardes 120 J/H
sauvegarde
sauvegarde
ORGANISATIONNEL

Inexistence d’un système de sauvegarde


Perte totale des données en Mettre en place un mécanisme de sauvegarde des
automatique des données conservées au niveau
cas de panne ou d’attaque données des postes clients et disposer des serveurs de
62. des postes clients pour une restauration rapide 90 J/H DSI
virale informatique sauvegardes
en cas de problème

Potentialité moyenne de
Absence de tests de reconstitution des Tester régulièrement la complétude des sauvegardes et
dysfonctionnement du
sauvegardes des configurations effectuées sur leur capacité de reconstitution en cas de défaillances
63. processus actuel de
les équipements en production constatées sur les équipements de production -------- DSI
sauvegarde (la solution de
secours)

Inexistence de politique de gestion des logs Impossibilité d’agir sur les Mettre en place politique de journalisation des
64. 90 J/H DSI
délits impliquant la événements critiques et documenter les procédures de
disponibilité et l’intégrité gestion des logs
des données par le
personnel de la structure et
incapacité à identifier les
responsabilités en cas

18
ANTIC (Agence Nationale des Technologies de l’Information et de la Communication)
Audit de sécurité du système d’information de la CRTV : Plan d’actions correctives

Charge Responsabi
Axe N° Vulnérabilités Risques Criticité Recommandations
(J-H) lités

d’incident grave

Possibilité fortuite
Inexistence d’un programme, d’outils et des Acquérir des scanners de vulnérabilité et mettre en place
d’introduire des failles de
directives en matière de scans réguliers de un programme et des directives formelles en matière de
65. sécurités dans le système
vulnérabilités scans 240 J/H DSI
d’information

Possibilité de survenance
Absence de politiques prévues pour répondre Etablir des politiques pour répondre aux spams, aux
des attaques de types de
66. aux spams, aux attaques DoS attaques DDoS
Dos ou des spams 180 J/H DSI

Utilisateur d’un unique ordinateur (partagé par Acquérir des ordinateurs supplémentaires pour le
ORGANISATIONNEL

cinq personnels) pour le développement des personnel en charge du développement des projets
projets informatiques et non séparation des Risque d’erreurs informatiques et mettre en place de façon logique et DAF
67. environnements virtuels et physique de tests, de physique des environnements séparés de tests, de 120 J/H
production et de développement production et de développement /DSI

Utilisation récurrente d’ordinateurs personnels


Faible rendement Dans la mesure du possible, mettre à la disposition de
pour des raisons professionnelles-très faible DAF
68. chaque personnel un ordinateur de travail et interdire 240 J/H
ratio homme/ machine /DRHS
l’utilisation de postes personnels au sein de l’entreprise
Serveur antivirus non fonctionnel, inexistence Perte majeures en cas Acquérir un serveur antivirus, renouveler les licences
69. d’un serveur de mise à jour et utilisation d’attaque antivirale antivirales et mettre en place un serveur de mise à jour
180 J/H DSI
d’antivirus sans licence

Comptes administrateurs des usagers non Possibilité pour un employé Prendre le contrôle de tous comptes administrateurs des
70. 90 J/H DSI
contrôlés par la DSI d’installer ce qu’il veut usagers et interdire l’installation au niveau client

19
ANTIC (Agence Nationale des Technologies de l’Information et de la Communication)
Audit de sécurité du système d’information de la CRTV : Plan d’actions correctives

Charge Responsabi
Axe N° Vulnérabilités Risques Criticité Recommandations
(J-H) lités

Attaque antivirale Acquérir des licences antivirales pour les équipements de


Utilisation d’équipements de production et de
71. industrielle production et de diffusion.
diffusion TV et FM sans antivirus 90 J/H DSI

SECURITE DES COMMUNICATIONS


Procéder à l’analyse des exigences de sécurité du réseau
et des points de faibles pouvant facilement être
Risque d’attaque de toute
Aucune analyse des exigences de sécurité et exploitables par une personne malveillante et mettre en
72. nature
des points de faibles du réseau place des mesures et équipements de sécurité sur cette 180 J/H DSI
base

Gestion désordonnée des


ORGANISATIONNEL

changements et risque de
Absence de mécanismes et de procédures de DAF
négligence du cycle de vie Mettre en place une procédure de gestion des
73. gestion des changements 120 J/H
d’un équipement changements /DSI

Remplacer à long terme et en fonction des budgets tous


Obsolescence de plusieurs équipements du CD/FMTV/
Faible rendement les équipements du réseau informatique (serveurs, postes
réseau informatique, de diffusion et de
74. de travail, ect…), du réseau de production TV/FM et du 180 J/H UMEP/R
production
réseau de diffusion qui sont obsolètes ;
/DSI
Augmenter dans la mesure du possible le nombre de
75. 120 J/H DRHS
Insuffisance du personnel opérationnel au sein Risque d’erreurs personnel d’exploitation des télécommunications
de la DSI en charge de la gestion du réseau /DSI

20
ANTIC (Agence Nationale des Technologies de l’Information et de la Communication)
Audit de sécurité du système d’information de la CRTV : Plan d’actions correctives

Charge Responsabi
Axe N° Vulnérabilités Risques Criticité Recommandations
(J-H) lités

Inaptitude des personnels à


Inexistence de formation spécifique du
faire face aux défis Renforcer par un programme spécifique les capacités du
personnel d’exploitation aux risques liés aux DRHS
sécuritaires dans le domaine personnel d’exploitation des réseaux et
76. télécommunications 120 J/H
des télécommunications télécommunications /DSI

Potentialité élevée de
disparité dans la
Inventorier et centraliser les paramètres de sécurité et les
configuration des différents
Paramètres de sécurité et règles de règles de configuration des équipements de CD/FMTV
actifs pouvant provoquer
configurations des équipements informatiques, télécommunications en les classant par types et sécuriser
77. une baisse de performance 90 J/H UMEP/R
de diffusion et de production non centralisés cette centralisation
dans la maintenance de ces
/DSI
derniers

Potentialité moyenne de
ORGANISATIONNEL

dysfonctionnement du
processus actuel de
Tester régulièrement la complétude des sauvegardes et
Absence de tests de reconstitution des sauvegarde (la solution de CD/FMTV
leur capacité de reconstitution en cas de défaillances
sauvegardes des configurations effectuées sur secours) et Risque de perte
78. constatées sur les équipements de production ------- UMEP/R
les équipements de diffusion en production des données dû à la forte
potentialité de variation de /DSI
la procédure de sauvegarde

21
ANTIC (Agence Nationale des Technologies de l’Information et de la Communication)
Audit de sécurité du système d’information de la CRTV : Plan d’actions correctives

Charge Responsabi
Axe N° Vulnérabilités Risques Criticité Recommandations
(J-H) lités

Manque de rapidité dans la


résolution des incidents par
les prestataires
Procéder à une revue périodique des incidents avec les
(planification des incidents)
Pas de planification généralisée de revues des différents prestataires à l’effet d’anticiper sur les
79. et le personnel interne,
incidents avec les prestataires prochains incidents ------- DAF /DSI
Faible performance du
processus de gestion des
incidents

Inefficacité du processus de
Absence d’outil de contrôle et de journalisation reconstitution de Déployer un outil de contrôle et de journalisation des CD/FMTV
des différents accès aux équipements de l’historique des causes des différents accès aux équipements sensibles ainsi que des
difusion sensibles ainsi que des règles de différents incidents règles de journalisation intégrant la reconstitution de UMEP/R
80. 180 J/H
journalisation. (inefficacité du processus de (négligence de certaines l’historique des incidents /DAF
reconstitution de l’historique des incidents) traces)
/DSI

Disposition dans un même local des Non contnuité d’activité en Procéder à l’activation des pare-feu dans les postes de
équipements principaux et redondants du cas de sinistre grave travail
81. 30 J/H DSI
réseau de diffusion

Mettre en place une politique de gestion des réseaux


ORGANISATIONNEL

Risque d’intrusion au sein


Absence d’une politique de gestion des réseaux wifi, délimitant les secteurs couverts par ces réseaux et
82. du réseau local par un invité
wifi et d’un espace de connexion publique les utilisateurs concernés (invités, ne travaillant pas sur 120 J/H DSI
le système, etc…)

Absence d'une salle de contrôle et de Mauvaise gestion des Mettre en place une salle de contrôle et de monitoring et
83. 240 J/H DSI
monitoring et d’un outil de monitoring réseau ressources informatiques un outil de monitoring réseau informatique et de
informatique et de diffusion diffusion

22
ANTIC (Agence Nationale des Technologies de l’Information et de la Communication)
Audit de sécurité du système d’information de la CRTV : Plan d’actions correctives

Charge Responsabi
Axe N° Vulnérabilités Risques Criticité Recommandations
(J-H) lités

Possibilité pour un intrus de


Inexistence d’un Contrôleur de domaine et du se connecter au LAN et de
Mettre en place un Contrôleur de domaine et un système
système Active Directory pour la gestion du mener des actes
84. Active Directory pour la gestion du réseau informatique 180 J/H DSI
réseau informatique malveillants

Acquérir des pare-feu physiques pour la protection des


Inexistence de pare-feu physiques pour la Risque de perpétration CD/FMTV
équipements informatique, de production TV/FM et web
protection des équipements informatique, de d’attaque de l’extérieur
85. et pour la diffusion 180 J/H UMEP/R
production TV/FM et web et pour la diffusion
/DNM /DSI
Au travers de l’outil de contrôle réseau, analyser la
Faible capacité internet par rapport aux besoins
Lenteur du réseau internet capacité internet reçue des prestataires et gérer cette
métiers et absence d’un outil de contrôle de la
86. capacité par rapport aux besoins métiers 90 J/H DSI
bande passante

Revoir les conditions contractuelles d’hébergement du


site web et de la messagerie auprès de MTN afin de
Piratage et rupture de
Hébergement du site web et de la messagerie garantir une continuité de service- veiller à long terme à
87. service
chez un prestataire privé l’hébergement de ces plateformes au sein du Datacenter 90 J/H DSI
de la CRTV.

Acquisition, développement et maintenance des systèmes


Utilisation de logiciels métier obsolètes et des Procéder à un upgrade des applications afin de migrer
systèmes d’exploitation non supportés Risque de piratage vers une autre version tournant sur un système
88. 60 J/H DSI
notamment windows XP d’exploitation supporté par l’éditeur

23
ANTIC (Agence Nationale des Technologies de l’Information et de la Communication)
Audit de sécurité du système d’information de la CRTV : Plan d’actions correctives

Charge Responsabi
Axe N° Vulnérabilités Risques Criticité Recommandations
(J-H) lités

Présence de fichiers de certains serveurs Empêcher par des configurations et des cloisonnements
Divulgation d’information
critiques partagés en écriture et lecture dans le du réseau, le partage des fichiers hébergés dans les
89. en externe et en interne 30 J/H DSI
réseau serveurs de production

Procéder au cryptage par un algorithme lourd des disques


ORGANISATIONNEL

Disques de sauvegardes et données non cryptés Corruption des données et des données de sauvegardes des bases de données
90. 180 J/H DSI
hébergées en local ;

Espionnage industriel
Absence d’une politique/procédure de utilisant les équipements Mettre en place une politique de gestion des
91. maintenance des équipements ayant subi une maintenance maintenances 120 J/H CM
externe

Uniformiser tous les systèmes d’exploitation clients et


Disparité dans les choix des systèmes Risque d’incompatibilité
92. serveurs vers des solutions récentes et stables d’un point
d’exploitation clients et serveurs des systèmes 120 J/H DSQI
de vue sécurité

Possibilité de survenance de
Utilisation de systèmes d’exploitation non
vulnérabilités liées dont les Procéder à la migration de tous les systèmes non
supporté par les éditeurs (Windows xp,
93. patchs de sécurité sont supportés par les éditeurs vers des systèmes récents 90 J/H DSI
Windows server 2003)
inexistants

Inexistence de politique/ procédure relative à la Risque de mauvaise Mettre en place les procédures ou des instructions
ORGANISATIONNEL

94. 120 J/H DSI


manipulation des données dans les manipulation des données relatives à la manipulation des données dans les
environnements de test de tests et de diffusion en environnements de tests et renforcer les mesures de
externe protection de ces données déjà existantes à travers du
chiffrement ;

Non règlement des questions d'accord de Risque de forte dépendance Veiller au règlement des questions d'accord de licence et
95. 120 J/H DAF
licence et de propriété intellectuelle du code à l’éditeur de propriété intellectuelle du code développé lorsque le
développé lorsque le développement logiciel développement logiciel est sous-traité et externalisé

24
ANTIC (Agence Nationale des Technologies de l’Information et de la Communication)
Audit de sécurité du système d’information de la CRTV : Plan d’actions correctives

Charge Responsabi
Axe N° Vulnérabilités Risques Criticité Recommandations
(J-H) lités

est sous-traité, cas de DELTA PAIE


/DSI

CD/FMT
Inexistence des contrats de maintenance pour le Risque de détérioration Etablir des contrats de maintenance pour le matériel V
96. matériel informatique et de diffusion rapide des équipements informatique et de diffusion critique 240 J/H
UMEP/R
/DAF /DSI
Intégrer dans la procédure de gestion des changements
de l’obligation de tests de non régression.
Risque que les nouvelles
Non implication dans la procédure de gestion Note : On appelle test de non régression, un
modifications affectent les
des changements de l’obligation de tests de test cherchant à vérifier que les modifications
97. performances des autres 120 J/H DG
non régression apportées n'affectent pas les caractéristiques et
fonctions de l’application
les performances des autres fonctions de
l'application ou des autres applications
interfacées.
CONTROLE D’ACCES
Formaliser les procédures de gestion des accès aux zones
Absence de politique de gestion des accès Risque d’accès à des sensibles, aux bureaux, au réseau, au système et aux
98. logiques données confidentielles données applicatives s'appuyant pas sur une analyse 180 J/H DAF
préalable des exigences de sécurité de la CRTV

Inexistence de procédures formelles Lenteur dans


Mettre en place un processus d'autorisation et
d'enregistrement et de révocation des personnes l’enregistrement et la
99. d’enregistrement de tous les privilèges 120 J/H DSI
au niveau applicatif, système et réseau révocation des accès

Inexistence d’une procédure de gestion des Risque d’attaque par force Mettre en place une politique de gestion des mots de
100. 90 J/H DSI
mots de passe brut ou toute autre attaque passe et la communiquer à l’ensemble du personne
sur le mot de passe

25
ANTIC (Agence Nationale des Technologies de l’Information et de la Communication)
Audit de sécurité du système d’information de la CRTV : Plan d’actions correctives

Charge Responsabi
Axe N° Vulnérabilités Risques Criticité Recommandations
(J-H) lités

Gestion des incidents liés à la Sécurité de l’Information


101. Gestion désordonnée des Mettre en place une politique ou une procédure de
Absence de procédure de gestion des incidents
incidents gestion des incidents 240 J/H DSI

Actions correctrices ne
pourraient être mises en
oeuvre ou être mises en
oeuvre avec retard, du fait
ORGANISATIONNEL

de l’opacité de l’Entreprise Après avoir inventorié et classifié les infrastructures


102. Absence de planification de l’analyse des s’agissant de la surveillance critiques du SI de la CRTV, mettre en place un système
fichiers de Log des Traces, Logs et d’enregistrement des Traces, des Logs et des journaux de 240 J/H DSI
Journaux et plus toutes les opérations menées sur les ces infrastructures
particulièrement du manque
de retour sur expérience du
fait de l’incapacité d’accès
aux logs

Omission ou négligence de
Inexistence d’une relation entre l'équipe certains incidents pouvant Entretenir des relations permanentes avec le CIRT de
103. d'intervention et de gestion des incidents de la avoir une répercussion sur l’ANTIC et lui communiquer régulièrement les incidents
CRTV et le CIRT0F1 (ANTIC) dans la gestion tout le cyberespace constatés sur le réseau et pouvant porter atteinte à la 60 J/H DSI
des incidents liés à la sécurité Camerounais et dont le sécurité du cyberespace national
CIRT peut avoir la maitrise

Incapacité de détection des


Inexistence d’un programme de formation des incidents de sécurité et
104. personnels sur la gestion des incidents de dommages et pertes graves Former le personnel de la DSI à la gestion des incidents
180 J/H DSI
sécurité informatique sur le système en cas de
survenance d’un incident

CRYPTOGRAHIE

26
ANTIC (Agence Nationale des Technologies de l’Information et de la Communication)
Audit de sécurité du système d’information de la CRTV : Plan d’actions correctives

Charge Responsabi
Axe N° Vulnérabilités Risques Criticité Recommandations
(J-H) lités

Mettre en œuvre la politique de gestion de la


Risques liés à la cryptographie et utiliser des fonctions de hachage
ORGANISATIONNEL

105. Inexistence de politique de cryptographie confidentialité des données cryptographique comportant des algorithmes de haute
240 J/H DSI
sensibles sécurité et garantissant les fonctions d’intégrité et de non
répudiation

Possibilité d’interception
Inexistence de solutions de chiffrement et de Déployer une solution de chiffrement pour les échanges
des messages et de leur
106. signatures électroniques utilisées pour les de messages ou de documents électroniques sensibles. Se
utilisation par une personne
échanges de messages ou de documents rapprocher de la PKI nationale (ANTIC) afin de 90 J/H DSI
non autorisée (man in the
électroniques sensibles sécuriser les transactions et les échanges de la CRTV
middle attack)

107. Non maitrise des techniques cryptographiques Difficultés de gestion de la Procéder à la formation du personnel de la DSI sur la
par le personnel de la DSI sécurité des applications cryptographie et le chiffrement des données 240 J/H DSI

GESTION DU PLAN DE CONTINUITE


Mettre en place un Disaster recovery global site situé à
Dommages et pertes graves
une distance minimum de 70 km du site principal et
108. en cas d’incident grave
Inexistence d’un Disaster recovery site disposant de bureaux et logistiques nécessaire pour une
touchant une partie ou 240 J/H DSI
continuité des services critiques en cas d’indisponibilité
l’ensemble du système
du site principal

109. Difficulté dans la gestion de Procéder à la mise en place des plans de secours
Non élaboration de tous les plans de secours
certains sinistres inexistants 120 J/H DAF

Risque de non
Absence d’une procédure et d’un mécanisme de Elaborer une procédure de test à grande échelle du PCA
110. fonctionnement du PCA en
tests du PCA à grande échelle et procéder à des tests suivant une fréquence raisonnable 90 J/H DSI
cas de sinistre

Absence d'un Comité de Gestion de sinistre Interruption du service en Définir pour chaque scénario de sinistre en accord avec
111. 180 J/H DSI
ayant impacté le SI cas d’incidents les utilisateurs un échéancier de services minimum à

27
ANTIC (Agence Nationale des Technologies de l’Information et de la Communication)
Audit de sécurité du système d’information de la CRTV : Plan d’actions correctives

Charge Responsabi
Axe N° Vulnérabilités Risques Criticité Recommandations
(J-H) lités

assurer en fonction du temps. Les pertes d'information,


les moyens de les reconstituer et les procédures
opérationnelles intérimaires devront être considérés

Acquérir pour tous les serveurs sensibles, des serveurs


Pertes graves en cas
ORGANISATIONNEL ORGANISATIONNEL

redondants et procéder au stockage des serveurs de


112. Equipements sensibles non redondants d’interruption prolongé du
redondance dans des salles différentes de celles des 240 J/H DSI
service
serveurs principaux

CONFORMITE
Risque d’ignorance de
Absence de procédures et règles en matière Elaborer des procédures et un planning d’audit régulier
113. plusieurs vulnérabilités
d’audit régulier du SI du SI 120 J/H DSI /DAI
importantes

Possibilité pour un
Absence d’un recueil regroupant l'ensemble des Rédiger des recueils spécifiques concernant les
personnel de poser un acte DRHS /
114. dispositions légales ou réglementaires relatives dispositions relatives à la Protection de la propriété
illégal pouvant porter 120 J/H
à la Protection de la propriété intellectuelle intellectuelle DAI
préjudice à la CRTV

Possibilité de compromettre
le cyberespace par le non-
Absence d’un recueil regroupant l'ensemble des Rédiger des recueils concernant les dispositions relatives
respect des dispositions
115. dispositions légales ou réglementaires relatives à l'utilisation de moyens cryptographiques et les rendre
légales ou réglementaires 120 J/H DSI
à l'utilisation de moyens cryptographiques accessibles au personnel
relatives à l'utilisation de
moyens cryptographiques

Non application des dispositions des articles


Appliquer les dispositions des articles 24, 25, 26, 27, 29,
24, 25, 26, 27, 29, 33 et 35 de la loi Risque d’enfreindre à la
33 et 35 de la loi N˚2010/012 du 21 décembre 2010 DAF /DAI /
116. N˚2010/012 du 21 décembre 2010 relative à la réglementation et aux
relative à la cybersécurité et à la cybercriminalité au 120 J/H
cybersécurité et à la cybercriminalité au dispositions contractuelles DSI
Cameroun
Cameroun.

28
ANTIC (Agence Nationale des Technologies de l’Information et de la Communication)
Audit de sécurité du système d’information de la CRTV : Plan d’actions correctives

Charge Responsabi
Axe N° Vulnérabilités Risques Criticité Recommandations
(J-H) lités

AUDIT TECHNIQUES

SCAN DES ROUTEURS & SWITCH


L'utilisation de Telnet sur
un canal non crypté n'est
pas recommandée car les
connexions, les mots de
passe et les commandes
sont transférés en clair. Cela
permet à un attaquant
117. Unencrypted Telnet Server distant, man-in-the-middle, Désactivez le service Telnet et utilisez plutôt SSH
15 J/H DSI
d'écouter une session Telnet
TECHNIQUES

pour obtenir des


informations d'identification
ou d'autres informations
sensibles et pour modifier le
trafic échangé entre un
client et un serveur.

Le service distant utilise


une chaîne de certificats
SSL Certificate Signed Using Weak Hashing SSL qui a été signée à l'aide Contactez l'autorité de certification pour que le certificat
118. Algorithm d'un algorithme de hachage soit réémis 90 J/H DSI
faible (par exemple MD2,
MD4, MD5 ou SHA1)

L'hôte distant prend en


charge l'utilisation de
SSL Medium Strength Cipher Suites Reconfigurez l'application affectée si possible pour éviter
119. chiffrements SSL offrant un
Supported l'utilisation de chiffrements de force moyenne. 30 J/H DSI
chiffrement de niveau
moyen

29
ANTIC (Agence Nationale des Technologies de l’Information et de la Communication)
Audit de sécurité du système d’information de la CRTV : Plan d’actions correctives

Charge Responsabi
Axe N° Vulnérabilités Risques Criticité Recommandations
(J-H) lités

Le certificat utilisé pour les


TECHNIQUES

120. connexions sécurisées sur le Acquérir un certificat auprès d'une autorité de


SSL Self-Signed Certificate
serveur est auto signé et certification 90 J/H DSI
n'est pas crédible.

L'hôte distant prend en


121. charge l'utilisation de Reconfigurez l'application concernée, si possible pour
SSL Weak Cipher Suites Supported
chiffrements SSL offrant un éviter l'utilisation de chiffrements faibles. 30 J/H DSI
chiffrement faible.

SSLv3 Padding Oracle On Downgraded L'hôte distant est affecté par Désactiver SSLv3
122. 15 J/H DSI
Legacy Encryption Vulnerability la vulnérabilité POODLE
(POODLE) (divulgation d'informations)
favorable à des attaques de
type man-in-the-middle
(MitM). Cette vulnérabilité
est due à une mauvaise
gestion des octets de
remplissage par SSL 3.0 qui
utilisent le cryptage par
blocs CBC lors du
déchiffrement des messages

Unencrypted Telnet Serve Le serveur Telnet distant Désactiver le service TELNET, utiliser un serveur SSH
123. 15 J/H DSI
transmet le trafic en clair.
Un attaquant distant de type
man-in-the-middle pourrait
écouter une session Telnet
et obtenir des informations
d'identification ou d'autres
informations sensibles
échangées entre un client et
un serveur

30
ANTIC (Agence Nationale des Technologies de l’Information et de la Communication)
Audit de sécurité du système d’information de la CRTV : Plan d’actions correctives

Charge Responsabi
Axe N° Vulnérabilités Risques Criticité Recommandations
(J-H) lités

Le serveur SSH est


configuré pour supporter le
chiffrement Cipher Block
124. Chaining (CBC), Cela peut Remplacer le chiffrement CBC par le chiffrement CTR
SSH Server CBC Mode Ciphers Enabled
permettre à un attaquant de ou GCM. 30 J/H DSI
récupérer le message en
clair à partir du message
chiffré

Le serveur SSH distant


utilise les fonctions de
TEECHNIQUES

125. Désactiver les fonctions de hachage MD5 et MAC 96


SSH Weak MAC Algorithms Enabled hachage MD5 ou MAC 96
bits sur le serveur SSH 30 J/H DSI
bits, qui considérés comme
faibles

Le serveur prend en charge


l'utilisation de RC4 dans
une ou plusieurs suites de
chiffrement. Le chiffrement
RC4 est défectueux dans sa Reconfigurer l'application affectée, pour éviter
126. SSL RC4 Cipher Suites Supported (Bar
génération d'un flux l'utilisation de chiffrements RC4. Envisager d'utiliser
Mitzvah 30 J/H DSI
pseudo-aléatoire d'octets de TLS 1.2 avec les suites AES-GCM.
sorte qu'une grande variété
de petits biais est introduite
dans le flux, ce qui diminue
son caractère aléatoire.

SERVEUR DE LA PAIE
SSL/TLS Diffie- Hellman Modulus <= 1024 L'hôte distant autorise les Configurer les services afin d’utiliser un modulo de 2048
127. 30 J/H DSI
Bits (Logjam) connexions SSL / TLS avec bits ou plus
un ou plusieurs modulos
Diffie-Hellman inférieure
ou égale à 1024 bits.

31
ANTIC (Agence Nationale des Technologies de l’Information et de la Communication)
Audit de sécurité du système d’information de la CRTV : Plan d’actions correctives

Charge Responsabi
Axe N° Vulnérabilités Risques Criticité Recommandations
(J-H) lités

Cela peut permettre à un


attaquant de récupérer le
texte en clair ou de
compromettre l'intégrité des
connexions.
L'hôte distant utilise un
TECHNIQUE

cryptage faible pour le


service du bureau à
distance. Cette vulnérabilité
128. Terminal Services Encryption Level is peut permettre à un
Changer le niveau de Cryptage RDP à 4.
Medium or Low attaquant d'écouter les 30 J/H DSI
communications plus
facilement et d'obtenir des
captures d'écran et / ou des
frappes de touche

Terminal Services Doesn't Use Network Le service du bureau à Activez l'authentification via NLA sur le service du
129. 15 J/H DSI
Level Authentication (NLA) Only distance (Terminal Service) bureau distant.
n'est pas configuré pour
utiliser l'authentification via
NLA. NLA utilise le
Protocole CredSSP
(Credential Security
Support Provider) pour
effectuer une
authentification forte sur le
serveur via TLS/SSL ou
Kerberos. L'authentification
NLA contribue ainsi à
protéger l'ordinateur distant
contre les utilisateurs et les
logiciels malveillants, en
réalisant une
authentification des
utilisateurs avant qu'une

32
ANTIC (Agence Nationale des Technologies de l’Information et de la Communication)
Audit de sécurité du système d’information de la CRTV : Plan d’actions correctives

Charge Responsabi
Axe N° Vulnérabilités Risques Criticité Recommandations
(J-H) lités

connexion RDP soit


complètement établie

La signature n'est pas


TECHNIQUES

requise sur le serveur SMB


Appliquer la signature de message dans la configuration
distant. Un attaquant distant
de l'hôte. Sous Windows, cela se trouve dans le
130. non authentifié peut
SMB Signing not required paramètre de stratégie "Serveur réseau Microsoft : Signer
l'exploiter pour mener des 30 J/H DSI
numériquement les communications (toujours)". Sur
attaques de type man-in-the-
Samba, le paramètre est appelé "signature du serveur".
middle contre le serveur
SMB.

L'instance de Oracle
GlassFish Server exécutée
sur l'hôte distant est affectée
par une vulnérabilité de
chemin d'accès authentifiée
131. et non authentifiée. Un
Oracle GlassFish Server Path Traversal Contacter le fournisseur pour les options de correctif.
attaquant distant peut 90 J/H DSI
exploiter ce problème, via
une requête HTTP
spécialement conçue, pour
accéder à des fichiers
arbitraires sur l'hôte distant.

Microsoft Windows Remote Desktop La version de Remote Forcer l'utilisation de SSL comme couche de transport
132. 90 J/H DSI
Protocol Server Man-in-the-Middle Desktop Protocol Server pour ce service
Weakness (Terminal Service) est Sélectionner le paramètre « Autoriser les connexions
vulnérable à une attaque de uniquement à partir d'ordinateurs exécutant le Bureau à
type Man in The Midle distance avec l'authentification au niveau du réseau » s'il
(MiTM). Le client RDP ne est disponible.
valide pas l'identité du
serveur lors de la
connexion. Un attaquant
capable d'intercepter le

33
ANTIC (Agence Nationale des Technologies de l’Information et de la Communication)
Audit de sécurité du système d’information de la CRTV : Plan d’actions correctives

Charge Responsabi
Axe N° Vulnérabilités Risques Criticité Recommandations
(J-H) lités

trafic à partir du serveur


RDP peut établir une liaison
avec le client et le serveur
sans être détecté. Une
attaque MiTM de cette
nature permettrait à
l'attaquant d'obtenir toutes
les informations sensibles
transmises, y compris les
informations d'identification
d'authentification.

L'attribut 'commonName'
133. (CN) du certificat SSL Acquérir un certificat SSL auprès d'une autorité de
SSL Certificate with Wrong Hostname
présenté pour ce service certification reconnue et le déployer. 90 J/H DSI
concerne une autre machine

L'instance de Oracle
GlassFish Server exécutée
sur l'hôte distant est affectée
par une vulnérabilité de
TECHNIQUE

déni de service authentifiée


et non authentifiée.
Cette vulnérabilité résulte
134. Oracle GlassFish Server URL normalization d'une boucle infinie dans la
Contacter le fournisseur pour les options de correctif
Denial of Service méthode normalize()dans 90 J/H DSI
com.sun.jsftemplating.util.fi
leStreamer.ResourceConten
tSource.
Un attaquant distant peut
exploiter ce problème via
une requête HTTP
spécialement conçue pour le
composant Admin Console..

34
ANTIC (Agence Nationale des Technologies de l’Information et de la Communication)
Audit de sécurité du système d’information de la CRTV : Plan d’actions correctives

Charge Responsabi
Axe N° Vulnérabilités Risques Criticité Recommandations
(J-H) lités

Plusieurs vulnérabilités, le
démon SSH distant prend
en charge les connexions
effectuées à l'aide de la
135. SSH Protocol Version 1 Session Key version 1.33 et / ou 1.5 du Désactiver la compatibilité avec la version 1 du
Retrieval protocole SSH. protocole. 30 J/H DSI
Ces protocoles ne sont pas
complètement sûrs du point
de vue cryptographique, ils
ne doivent donc pas être
utilisés
Le serveur accepte les
TECHNIQUES

connexions cryptées grâce


au protocole SSL 2.0, qui
souffre de plusieurs failles
cryptographiques. Un cyber
136. attaquant pourrait être en Désactiver les connexions sécurisées via le protocole
SSL Version 2 and 3 Protocol Detection
mesure d'exploiter ces SSL 2.0 15 J/H DSI
faiblesses pour mener des
attaques man-in-the-middle
ou décrypter les
communications entre le
service et les clients.

SSL / TLS Renegotiation Handshakes MiTM Le service distant crypte le Contactez le fournisseur pour obtenir des informations
137. 90 J/H DSI
Plaintext Data Injection trafic à l'aide de TLS / SSL, spécifiques sur les correctifs
mais permet à un client de
renégocier la connexion de
manière non sécurisée après
la prise de contact initiale.
Un attaquant distant non
authentifié peut être en
mesure d'exploiter ce
problème pour injecter une
quantité arbitraire de texte

35
ANTIC (Agence Nationale des Technologies de l’Information et de la Communication)
Audit de sécurité du système d’information de la CRTV : Plan d’actions correctives

Charge Responsabi
Axe N° Vulnérabilités Risques Criticité Recommandations
(J-H) lités

en clair au début du flux de


protocole d'application, ce
qui peut faciliter les
attaques intermédiaires si le
service suppose que les
sessions avant et après la
renégociation proviennent
du même "client" et les
fusionne au niveau de la
couche application.

Le certificat utilisé pour les


connexions sécurisées sur le
serveur ne peut être vérifié
pour les raisons suivantes :
- Certificat expiré ;
- Certificat attribué à un
nom d’hôte différent ;
138. Acquérir un certificat SSL auprès d'une autorité de
SSL certificate Cannot be Trusted - Certificat auto signé ;
certification reconnue et le déployer. 90 J/H DSI
- Certificat signé à l'aide
d'algorithme de hachage
faible ;
- Taille des clés RSA du
certificat inférieur à 2048
bits.
Il n'est par conséquent pas
fiable
SERVEUR DE LA COMPTABLITE

36
ANTIC (Agence Nationale des Technologies de l’Information et de la Communication)
Audit de sécurité du système d’information de la CRTV : Plan d’actions correctives

Charge Responsabi
Axe N° Vulnérabilités Risques Criticité Recommandations
(J-H) lités

Possibilité pour un attaquant


distant non authentifié
139. MS17-010: Security Update for Microsoft d’exploiter ceci, via un Faire évoluer la version du système.
Windows SMB Server paquet spécialement conçu, Le support de ce système d'exploitation par Microsoft a 90 J/H DSI
pour divulguer des pris fin le 8 avril 2014
informations sensibles.

Appliquez la mise à jour de sécurité applicable pour


votre version de Windows: Windows Server 2008:
Un attaquant distant non
KB4018466 - Windows 7: KB4019264 - Windows
authentifié peut exploiter
Server 2008 R2: KB4019264 - Windows Server 2012:
ces vulnérabilités via un
140. Microsoft Windows SMBv1 Multiple KB4019216 - Windows 8.1 / RT 8.1. : KB4019215 -
paquet SMBv1
Vulnerabilities Windows Server 2012 R2 : KB4019215 - Windows 10 : 30 J/H DSI
spécialement conçu pour
KB4019474 - Windows 10 Version 1511 : KB4019473 -
divulguer des informations
Windows 10 Version 1607 : KB4019472 - Windows 10
sensibles.
Version 1703 : KB4016871 - Windows Server 2016 :
KB4019472

Le serveur accepte les


connexions cryptées grâce
au protocole SSL 2.0, qui
souffre de plusieurs failles
cryptographiques. Un cyber
141. attaquant pourrait être en Désactiver les connexions sécurisées via le protocole
SSL Version 2 and 3 Protocol Detection
mesure d'exploiter ces SSL 2.0 15 J/H DSI
faiblesses pour mener des
attaques man-in-the-middle
ou décrypter les
communications entre le
service et les clients.

SSL certificate Cannot be Trusted Le certificat utilisé pour les Acquérir un certificat SSL auprès d'une autorité de
142. 90 J/H DSI
connexions sécurisées sur le certification reconnue et le déployer.
serveur ne peut être vérifié
pour les raisons suivantes :

37
ANTIC (Agence Nationale des Technologies de l’Information et de la Communication)
Audit de sécurité du système d’information de la CRTV : Plan d’actions correctives

Charge Responsabi
Axe N° Vulnérabilités Risques Criticité Recommandations
(J-H) lités

 Certificat expiré ;
 Certificat attribué à
un nom d’hôte
différent ;
 Certificat auto
signé ;
 Certificat signé à
l'aide d'algorithme
de hachage faible ;
 Taille des clés
RSA du certificat
inférieur à 2048
bits.

Il n'est par conséquent pas


fiable.
Une personne malveillante
peut si l'hôte distant est un
hôte public en production,
TECHNIQUE

peut lancer une attaque


143. d'interception contre l'hôte Achetez ou générez un certificat approprié pour ce
SSL Self-Signed Certificate
distant. La chaîne de service 90 J/H DSI
certificats X.509 pour ce
service n'est pas signée par
une autorité de certification
reconnue.

38
ANTIC (Agence Nationale des Technologies de l’Information et de la Communication)
Audit de sécurité du système d’information de la CRTV : Plan d’actions correctives

Charge Responsabi
Axe N° Vulnérabilités Risques Criticité Recommandations
(J-H) lités

Une personne malveillante


peut si l'hôte distant est un
hôte public en production,
peut lancer une attaque
144. d'interception contre l'hôte Achetez ou générez un certificat approprié pour ce
SSL Self-Signed Certificate
distant. La chaîne de service. 90 J/H DSI
certificats X.509 pour ce
service n'est pas signée par
une autorité de certification
reconnue.

Une vulnérabilité présentée


indique par les dates
145. Achetez ou générez un nouveau certificat SSL pour
SSL Certificate Expiry d'expiration des certificats
remplacer le certificat existant 90 J/H DSI
associés aux services SSL
sur la cible ont déjà expiré

Un attaquant peut exploiter Microsoft a publié un ensemble de correctifs pour


cette vulnérabilité pour Windows Vista, 2008, 7, 2008 R2, 2012, 8.1, RT 8.1,
146. MS16-047: Security Update for SAM and
accéder par la technique de 2012 R2 et 10.
LSAD Remote Protocols 30 J/H DSI
man-in-the-middle pour https://support.microsoft.com/en-us/help/3148527/ms16-
obtenir les accès 047- security-update-for-sam-and-lsad-remote-protocols-
april-12- 20

SCAN DES POSTES DE TRAVAIL (POSTES DE COMPTABLITES)

Microsoft Windows SMBv1 Multiple Un attaquant distant non Appliquez la mise à jour de sécurité applicable
TECHNIQUE

147. 60 J/H DSI


Vulnerabilities authentifié peut exploiter pour votre version de Windows: Windows Server
ces vulnérabilités via un 2008: KB4018466 - Windows 7: KB4019264 -
paquet SMBv1
spécialement conçu pour
Windows Server 2008 R2: KB4019264 -
divulguer des informations Windows Server 2012: KB4019216 - Windows
sensibles 8.1 / RT 8.1. : KB4019215 - Windows Server
2012 R2 : KB4019215 - Windows 10 :
KB4019474 - Windows 10 Version 1511 :

39
ANTIC (Agence Nationale des Technologies de l’Information et de la Communication)
Audit de sécurité du système d’information de la CRTV : Plan d’actions correctives

Charge Responsabi
Axe N° Vulnérabilités Risques Criticité Recommandations
(J-H) lités

KB4019473 - Windows 10 Version 1607 :


KB4019472 - Windows 10
Version 1703 : KB4016871 - Windows Server
2016 : KB4019472

Le manque de support
implique qu'aucun nouveau
correctif de sécurité pour le Microsoft Windows XP a tellement de
148. Microsoft Windows XP Unsupported produit ne sera publié par le vulnérabilités et les correctifs ne sont plus
Installation Detection fournisseur. En produits. 30 J/H DSI
conséquence, il est Nous recommandons l'utilisation des versions
susceptible de contenir des récentes de Microsoft Windows
failles de sécurité

L'hôte Windows distant est


MS17-010: Security Update for Microsoft affecté par plusieurs
Windows SMB Server (4013389) vulnérabilités notamment: Microsoft a publié un ensemble de correctifs pour
(ETERNALBLUE) - l'exécution de code à Windows Vista, 2008, 7, 2008 R2, 2012, 8.1, RT
149. (ETERNALCHAMPION) distance existent dans 8.1, 2012 R2, 10 et 2016. Microsoft a également
(ETERNALROMANCE) Microsoft Server Message publié des correctifs d'urgence pour les systèmes 30 J/H DSI
(ETERNALSYNERGY) (WannaCry) Block 1.0 (SMBv1) ; d'exploitation Windows qui ne sont plus pris en
(EternalRocks) (Petya) (uncredentialed - la divulgation charge, notamment Windows XP, 2003 et 8.
check d'informations existe dans
Microsoft Server Message
Block 1.0 (SMBv1).
Microsoft Windows ne
TECHNIQUE

contient n'est plus prise en


150. charge. Par conséquent, il Faire évoluer la version du système.
Unsupported Windows OS
est susceptible de contenir Le support de ce système d'exploitation par 30 J/H DSI
des vulnérabilités de Microsoft a pris fin le 8 avril 2014
sécurité.

40
ANTIC (Agence Nationale des Technologies de l’Information et de la Communication)
Audit de sécurité du système d’information de la CRTV : Plan d’actions correctives

Charge Responsabi
Axe N° Vulnérabilités Risques Criticité Recommandations
(J-H) lités

L'hôte distant exécute modifications de registre suivantes selon les avis


Microsoft Windows. Il est Technet référencés: Ensemble : - HKLM \
possible de s'y connecter en SYSTEM \ CurrentControlSet \ Control \ LSA \
utilisant une session NULL RestrictAnonymous = 1- HKLM \ SYSTEM \
(c'est-à-dire sans identifiant CurrentControlSet \ Services \ lanmanserver \
151. Microsoft Windows SMB NULL Session
ni mot de passe).Selon la
Authentication
configuration, un attaquant
parameters \ restrictnullsessaccess = 1 60 J/H DSI
distant non authentifié peut Supprimer le NAVIGATEUR de:- HKLM \
utiliser ce problème pour SYSTEM \ CurrentControlSet \ Services \
obtenir des informations sur lanmanserver \
l'hôte distant. parameters \ NullSessionPipes

La signature n'est pas


requise sur le serveur SMB Appliquer la signature de message dans la
distant. Un attaquant distant configuration de l'hôte. Sous Windows, cela se
152. non authentifié peut trouve dans le paramètre de stratégie "Serveur
SMB Signing not required
l'exploiter pour mener des réseau Microsoft : Signer numériquement les 30 J/H DSI
attaques de type man-in-the- communications (toujours)". Sur Samba, le
middle contre le serveur paramètre est appelé "signature du serveur".
SMB.

MS16-047: Security Update for SAM and L'hôte Windows distant est Microsoft a publié un ensemble de correctifs pour
153. 30 J/H DSI
LSAD Remote Protocols (3148527) affecté par une vulnérabilité Windows Vista, 2008, 7, 2008 R2, 2012, 8.1, RT
(Badlock) (uncredentialed check) d'élévation de privilèges 8.1, 2012 R2 et 10.
dans les protocoles SAM
(Security Account
Manager) et LSAD
(stratégie de sécurité locale)
en raison d'une négociation
de niveau d'authentification
incorrecte sur les canaux
RPC (Remote Procedure
Call). Un attaquant
intermédiaire capable

41
ANTIC (Agence Nationale des Technologies de l’Information et de la Communication)
Audit de sécurité du système d’information de la CRTV : Plan d’actions correctives

Charge Responsabi
Axe N° Vulnérabilités Risques Criticité Recommandations
(J-H) lités

d'intercepter les
communications entre un
client et un serveur
hébergeant une base de
données SAM peut
l'exploiter pour forcer le
niveau d'authentification à
se dégrader, permettant à
l'attaquant d'emprunter
l'identité d'un utilisateur
authentifié et d'accéder à la
base de données SAM

SCAN DU SITE WEB DE LA CRTV


La version de PHP exécutée
sur le serveur Web distant
154. Mettre à jour le serveur PHP vers la version la plus
PHP 7.1.x < 7.1.11 Multiple Vulnerabilities est 7.1.x antérieure à 7.1.11.
récente. 90 J/H DNM
Il est donc affecté par de
multiples vulnérabilités

La version de PHP exécutée


sur le serveur Web distant
est 7.1.x antérieure à 7.1.15.
155. Mettre à jour le serveur PHP vers la version 7.1.15 ou
PHP 7.1.x < 7.1.15 Stack Buffer Overflow Il est donc affecté par une
encore la plus récente. 90 J/H DNM
vulnérabilité de
dépassement de la mémoire
tampon de la pile

42
ANTIC (Agence Nationale des Technologies de l’Information et de la Communication)
Audit de sécurité du système d’information de la CRTV : Plan d’actions correctives

Charge Responsabi
Axe N° Vulnérabilités Risques Criticité Recommandations
(J-H) lités

Le certificat utilisé pour les


connexions sécurisées sur le
serveur ne peut être vérifié
pour les raisons suivantes :
- Certificat expiré ;
- Certificat attribué à un
nom d’hôte différent ;
- Certificat auto signé ;
156. Acquérir un certificat SSL auprès d'une autorité de
SSL certificate Cannot be Trusted - Certificat signé à l'aide
certification reconnue et le déployer. 90 J/H DNM
d'algorithme de hachage
faible ;
- Taille des clés RSA du
TECHNIQUE

certificat inférieur à 2048


bits.
Il n'est par conséquent pas
fiable.

L'attribut 'commonName'
(CN) du certificat SSL
157. Acquérir un certificat SSL auprès d'une autorité de
SSL Certificate with Wrong Hostname présenté pour ce service
certification reconnue et le déployer. 90 J/H DNM
concerne une autre
machine.

Le certificat utilisé pour les


158. connexions sécurisées sur le Acquérir un certificat auprès d'une autorité de
SSL Self-Signed Certificate
serveur est auto signé et certification 120 J/H DNM
n'est pas crédible

43
ANTIC (Agence Nationale des Technologies de l’Information et de la Communication)
Audit de sécurité du système d’information de la CRTV : Plan d’actions correctives

Charge Responsabi
Axe N° Vulnérabilités Risques Criticité Recommandations
(J-H) lités

la version d’Apache
exécutée sur l’hôte distant
est la version 2.4.x
antérieure à la version
159. Apache 2.4.x < 2.4.28 HTTP Vulnerability Mettez à jour le serveur Apache vers une version 2.4.28
2.4.28. Il peut donc affecté
(OptionsBleed) ou ultérieure. 90 J/H DNM
par une vulnérabilité HTTP
liée à la directive <Limit
{method}> dans un
fichier .htaccess.

la version d'Apache
exécutée sur l'hôte distant
est la version 2.4.x
antérieure à la version
2.4.30. Il est donc affecté
par les vulnérabilités
suivantes:
 Un défaut d'écriture hors
limites ; Un attaquant
distant, avec une requête
spécialement conçue,
160. Apache 2.4.x < 2.4.30 Multiple Mettre à niveau vers Apache version 2.4.30 ou
pourrait potentiellement
Vulnerabilities ultérieure. 60 J/H DNM
bloquer le processus.
 Un défaut de
contournement d'ACL ; Un
attaquant distant pourrait
potentiellement contourner
les restrictions et
télécharger un fichier.
 Une faille de falsification
de données ;
 - Un défaut de lecture non
lié.

44
ANTIC (Agence Nationale des Technologies de l’Information et de la Communication)
Audit de sécurité du système d’information de la CRTV : Plan d’actions correctives

Charge Responsabi
Axe N° Vulnérabilités Risques Criticité Recommandations
(J-H) lités

La version d'Apache
exécutée sur l'hôte distant
est affectée par les
161. Apache 2.4.x < 2.4.34 Multiple vulnérabilités suivantes: Mettez à jour le serveur Apache vers une version 2.4.28
Vulnerabilities - un attaquant peut entraîner ou ultérieure 60 J/H DNM
l'épuisement des travailleurs
et un déni
de service.
- DoS sur le serveur
Le serveur Web distant
TECHNIQUE

prend en charge les


méthodes TRACE et / ou
162. TRACK. TRACE et Désactivez ces méthodes. Reportez-vous à la sortie du
HTTP TRACE / TRACK Methods Allowed
TRACK sont des méthodes plugin pour plus d'informations. 15 J/H DNM
HTTP utilisées pour
déboguer les connexions au
serveur Web

OpenSSL < 1.1.0 Default Weak 64-bit Block Un attaquant peut exploiter Effectuez une mise à niveau vers OpenSSL version 1.1.0
163. 30 J/H DNM
Cipher (SWEET32) une vulnérabilité, connue ou ultérieure et assurez-vous que tous les chiffrements de
sous le nom de SWEET32, bloc 64 bits sont désactivés.
dans les algorithmes 3DES
et Blowfish en raison de
l’utilisation par défaut de
chiffrements de blocs 64
bits faibles. Il peut exploiter
cette vulnérabilité, via une
attaque d'anniversaire, afin
de détecter une collision qui
fuit le XOR entre le secret
fixe et un texte en clair
connu, permettant la
divulgation du texte secret,
tels que les cookies HTTPS
sécurisés, et éventuellement

45
ANTIC (Agence Nationale des Technologies de l’Information et de la Communication)
Audit de sécurité du système d’information de la CRTV : Plan d’actions correctives

Charge Responsabi
Axe N° Vulnérabilités Risques Criticité Recommandations
(J-H) lités

le détournement d'une
session authentifiée

La version d'OpenSSL
exécutée sur l'hôte distant
164. OpenSSL 1.0.x < 1.0.2m RSA/DSA est 1.0.x antérieure à Mettez à niveau vers OpenSSL version 1.0.2m ou
Unspecified Carry Issue 1.0.2m. Il est donc affecté ultérieure. 30 J/H DNM
par une vulnérabilité de
portage non spécifiée

Le serveur utilise un
certificat SSL qui a été
signé à l'aide d'un
algorithme de hachage
cryptographiquement faible
(MD2, MD4, MD5, SHA1).
Ces algorithmes de
165. SSL Certificate Signed Using Weak Hashing signature sont connus pour Obtenir un certificat utilisant un algorithme de hachage
Algorithm être vulnérables à des tel que SHA256 90 J/H DNM
attaques de collision. Un
attaquant peut exploiter ceci
pour générer un autre
certificat avec la même
signature numérique, ce qui
lui permettrai à d'usurper le
service concerné.

Une vulnérabilité présenté


indique par les dates
166. Achetez ou générez un nouveau certificat SSL pour
SSL Certificate Expiry d'expiration des certificats
remplacer le certificat existant. 90 J/H DNM
associés aux services SSL
sur la cible ont déjà expiré

46
ANTIC (Agence Nationale des Technologies de l’Information et de la Communication)
Audit de sécurité du système d’information de la CRTV : Plan d’actions correctives

Charge Responsabi
Axe N° Vulnérabilités Risques Criticité Recommandations
(J-H) lités

VULNERABILITES RESEAUX
Possibilité de survenance de
vulnérabilités liées dont les
167. Utilisation de systèmes d’exploitation non Procéder à la migration de tous les systèmes non
patchs de sécurité sont
supporté par les éditeurs (Windows xp). supportés par les éditeurs vers des systèmes récents 30 J/H DSI
inexistants.
Infiltration des codes
malicieux dans le système
168. Inexistence d’une architecture globale et Difficultés à maitriser L’architecture du réseau devrait passer par un processus
formelle du réseau de la CRTV Cameroun l’évolution du réseau formel d'examen et de signature 30 J/H DSI

Possibilité de fuite
d’information et de
169. Partage des dossiers, des disques et des Restreindre le partage des dossiers et des disques sur le
compromission des données
documents sensible sur le réseau réseau. 15 J/H DSI
par l'introduction des codes
malicieux

Possibilité pour un intrus


170. Absence d’IPS/IDS et de pare-feu dans le Procéder à la mise en place des IPS/IDS et pare-feu dans
d'entrer et d'accéder au
réseau interne. le réseau 90 J/H DSI
réseau sans être remarqué
TECHNIQUE

Toute personne ayant accès


au réseau peut accéder à
toutes les ressources
171. Absence de cloisonnement de résea trouvées dans le réseau et Décomposer le réseau en Vlan
30 J/H DSI
avoir ainsi accès à des
informations qu'il n'est pas
censé avoir.

172. Possibilités d’exécution des Acquérir et doter des postes de travail et serveurs, des
Absence des solutions antivirales
codes malveillantes solutions antivirales 30 J/H DSI
authentiques

47
ANTIC (Agence Nationale des Technologies de l’Information et de la Communication)
Audit de sécurité du système d’information de la CRTV : Plan d’actions correctives

Charge Responsabi
Axe N° Vulnérabilités Risques Criticité Recommandations
(J-H) lités

173. Absence d'une politique formelle de protection Possibilité d'activités Produire et formaliser une politique pour se protéger
contre les logiciels malveillants malveillantes dans le réseau contre les logiciels malveillants de réseau 60 J/H DSI

Intrusions des codes


174. Présence des ports et services par défaut malveillants via les ports et Identifier les ports et services ouverts, désactiver ceux
ouverts et non utilisés services non utilisés ou mal inutilisés et sécuriser ceux utilisés. 30J/H DSI
sécurisés

Difficultés à retracer les


175. Absence d'une procédure pour effectuer Documenter la procédure pour effectuer l'analyse d'accès
activités malveillantes sur
l'analyse d'accès des journaux des journaux 30 J/H DSI
les réseaux.

48
ANTIC (Agence Nationale des Technologies de l’Information et de la Communication)

Vous aimerez peut-être aussi