Vous êtes sur la page 1sur 27

REPUBLIQUE DE CÖTE D’IVOIRE

Union – Displine -Travail

Ministère de l’Economie Numérique et


de la Poste

Année Scolaire : 2019-2020


Ecole Supérieure Africaine Des Technologie
de l’Information et de le Communication

Analyse des risques en sécurité suivant la


démarche MEHARI d’une institution
étatique et de la défense et de l’intégrité du
territoire ivoirien

Présenté Par :
Kouadio Stevens
Traoré Zéla Tahiré

Classe : Master 2 SITW Nom du Professeur :


Dr Kamagaté Beman
SOMMAIRE

Introduction
I) Présentation de l’entreprise Secure Territory CI

1- Organigramme de la société

2- Service informatique de l’entreprise

3- Sécurité en place

II) Démarche Méhari

1- Phase préparatoire

2- Phase opérationnelle de traitement des risques

3- Phase de traitement des risques

Conclusion

Analyse des risques en sécurité suivant la démarche MEHARI d’une institution étatique et de la défense et 2
de l’intégrité du territoire ivoirien
Introduction

Le nombre de guerres et d’attaques terroristes qui surviennent dans le monde sont de plus en
plus récurrent et le territoire national ivoirien n’est pas épargné. De ce fait, pour assurer la
sécurité continue de la population ivoirienne et la défense du territoire, Secure Territory CI est
une institution qui travaille en partenariat direct avec le ministère de la défense du pays dans ce
sens. Dès lors, compte tenu de la délicatesse des données qui sont traitées, l’entreprise se doit
de développer un environnement de travail sain et sécuritaire.
Ce présent document vous présente alors l’analyse de risques de Secure Territory CI. Cette
analyse consistera à éliminer ou réduire le niveau de risques de l’entreprise en mettant en place
des mesures de sécurité adéquates suivant la démarche MEHARI.

Analyse des risques en sécurité suivant la démarche MEHARI d’une institution étatique et de la défense et 3
de l’intégrité du territoire ivoirien
I) Présentation de l’entreprise « Secure
Territory CI »

Secure Territory est une institution chargée de la défense et de l’intégrité du territoire ivoirien
plus spécifiquement des biens et des personnes. Il émane directement des ordres du ministère
de la défense et est constitué de manière hiérarchique.

1) Organigramme de la société

Ministère de la
défense de CI

Direction générale
de Secure
Territory

Sécrétariat général

Direction des
Direction de
Ressources
Direction gestion de crises
Humaines
Administration et
Finance Service
Informatique
Service Militaire Service
stratégique
Exécutif

a- Direction générale de Secure Territory

La direction générale de Secure Territory est composée du directeur et de son adjoint. La


direction reçoit l’ordre d’assurer la défense d’un territoire, du ministère de la défense de CI.
Une fois l’ordre reçu, elle coordonne le comité de pilotage du projet. En cas d’absence,
l’adjoint du directeur général assure la relève. Il dispose de :
• 2 ordinateurs portables ;

Analyse des risques en sécurité suivant la démarche MEHARI d’une institution étatique et de la défense et 4
de l’intégrité du territoire ivoirien
• 1 serveur sécurisé ;
• Une ligne de communication sécurisée avec le ministère de la défense de bout en bout
par un réseau privé virtuel ;
• 1 logiciel de visualisation.

b- Le Secrétariat Général

Il est constitué d’un seul poste, il est chargé de réceptionner les appels téléphoniques et assuré
la communication entre les différentes directions soit par appel téléphonique soit par courrier.
Pour se faire, il dispose d’une suite bureautique constitué par un ordinateur bureau, un
appareil téléphonique tous connectés au serveur.

c- Direction Administration et Finance

Elle est généralement appelée la DAF et a 4 missions principales assurées par des
départements spécifiques :
• Département Stratégique : Participer au choix de la stratégie et de sa mise en œuvre;
• Département Contrôle de gestion : Veiller à la rentabilité économique et transmettre
ses analyses ;
• Département Comptabilité : Assurer que les règles comptables et fiscales soient
respectées ;
• Département Trésorerie : Gérer la liquidité et la trésorerie de l’entreprise et exercer
un contrôle interne.
Chaque département est composé d’un chef de département et de 4 autres membres.

d- Direction des ressources humaines

Elle est généralement appelée la DRH et oriente ses actions autour de trois axes :
• Administrer des personnes : son rôle consiste en la définition, l’affichage et
l’application du règlement intérieur de l’entreprise. Il assure également le respect de la
législation sociale et met à jour les documents règlementaires.

• Communiquer : il organise le dialogue entre les pouvoirs dans l’entreprise. Il fait


fonctionner et améliore les outils et les procédures de communication interne et
externe.

• Gérer : il recrute et insère les individus en fonctions de leurs aptitudes et des besoins
de l’organisation.

Analyse des risques en sécurité suivant la démarche MEHARI d’une institution étatique et de la défense et 5
de l’intégrité du territoire ivoirien
Cette direction est composée de :
- Directeur des ressources humaines
- De son adjoint ;
- 04 chargés de ressources humaines.

e- Direction de gestion des crises

Cette direction est chargée de gérer toutes les crises de sécurité sur tout le territoire
ivoirien et de le défendre. Il est composé de deux services dont un service stratégique et
exécutif et d’un service militaire.

e-1) Service Stratégique et exécutif

Il applique toutes les décisions par voie diplomatique. Il travaille selon un niveau de crise. Les
différents niveaux de crises sont :
• Niveau 1 : Grave

C’est un niveau de crise d’une grande importance à traiter car les conséquences certes
minimes, pourraient être fâcheuses pour la sureté du territoire ivoirien ;

• Niveau 2 : Très Grave

C’est un niveau de crise d’une très grande importance à traiter immédiatement car les
conséquences sont terribles et pourraient avoir des répercussions plus terribles pour la
sureté du territoire ivoirien ;

• Niveau 3 : Critique

C’est le plus haut niveau d’alerte. Le niveau maximal d’alerte, il faut le traiter pour
tenter de réduire les risques et sauver le pays.

e-2) Service Militaire

Il s’agit du service militaire privé de la structure Secure Territory CI, composé de soldats
d’élite en grande majorité, cette structure applique toutes les décisions par voie militaire. Ce
service intervient surtout en cas de crise de niveau 3 et est capable de travailler en concert
avec les services militaires de la CI.

Analyse des risques en sécurité suivant la démarche MEHARI d’une institution étatique et de la défense et 6
de l’intégrité du territoire ivoirien
f- Service informatique

Il régit toutes les communications au sein de Secure Territory CI. Il est connecté au réseau
informatique de crise du pays en cas de crise de niveau 3. Il est composé de :
• Ordinateurs sécurisés ;
• Serveurs sécurisés ;
• Suites bureautiques ;
• Ressources électriques ;
• Groupe électrogène ;
• Prises électriques ;
• Connexion internet.

2) Service Informatique de l’entreprise

2-1) Matériels

Les différents équipements du système d’information qui constituent le matériel de


l’entreprise sont les suivants :
• Des ordinateurs fixes et ordinateurs portables ;
• Imprimantes ;
• Téléphones fixes ;
• Vidéo projecteur ;
• Disque dur externe ;

2-2) Logiciels et licences

Tous les logiciels ont été acquis légalement et possèdent un numéro de licence officiel. Ce
sont :
• Des licences Microsoft Windows ;
• Des licences d’antivirus ;
• 1 logiciel de sauvegarde (backup) ;
• 1 logiciel pour la visualisation (ARC+) ;
• Les systèmes d’exploitation Windows et Linux/Unix ;
• 1 logiciel de comptabilité.

2-3) Réseaux

Les équipements réseaux sont constitués de :


• Des routeurs ;
• 1 pare-feu ;

Analyse des risques en sécurité suivant la démarche MEHARI d’une institution étatique et de la défense et 7
de l’intégrité du territoire ivoirien
• Des commutateurs réseaux ;
• Des prises Ethernet ;
• Des serveurs.

3) Sécurité en place

3.1) Système d’information

Une politique de sécurité du système d’information, faisant partie de la politique globale de la


sécurité de l’entreprise a été établi. Seul le service informatique est responsable de la sécurité
du système d’information de Secure Territory CI. Toute information véhiculée transite d’abord
par le service informatique avant d’atteindre les autres services.
A cet effet, toutes les importantes ressources importantes ont été déployées dans leurs locaux
et une charte d’utilisation de ces ressources a été élaborée et diffusée à l’ensemble de son
personnel. Cette charte précise les droits et devoirs de chaque utilisateur.
Le recrutement du personnel du service informatique se fait de façon délicate. Les candidats
sélectionnés acceptent d’abord les règles de la charte avant de poursuivre. Des affiches de
sensibilisation sont apposées sur chaque bureau et apparaissent sur leurs différentes machines
au démarrage de leurs sessions utilisateurs. Ces affiches contiennent les règles suivantes :
• Le contrôle d’accès se fait par identifiant/mot de passe complété par un « token » pour
les équipements mobiles ;
• Principe de sauvegarde sur un serveur interne de Secure Territory ;
• Chaque utilisateur est responsable du fichier qu’il traite, les fichiers sont sauvegardés
sur les serveurs internes ; parallèlement, les documents papiers sont rangés par « les
archivistes du service informatique » ;
• Chaque utilisateur est responsable des ressources informatiques mises à sa disposition
dans le cadre de son activité ;
• Chaque utilisateur doit signaler toute anomalie dans les meilleurs délais vers « le
support utilisateurs » du service informatique (S’applique à tout le personnel de Secure
Territory CI).

3.2) Siège général

Dès sa création, le siège de Secure Territory CI a été aménagé de la sorte :


• Les moyens réglementaires de lutte contre un incendie sont en place ;
• Il existe un plan d’urgence d’évacuation en cas de menace incendiaire ;
• Les bureaux sont climatisés ;
• Une alarme anti-intrusion est active durant les heures de fermeture (20h-7h), de
fréquente ronde de gardien ont lieu à l’extérieur du bâtiment ;

Analyse des risques en sécurité suivant la démarche MEHARI d’une institution étatique et de la défense et 8
de l’intégrité du territoire ivoirien
• Les bureaux du service informatique sont fermés et la clé est remise au chef du
service ;
• Le service de nettoyage externe à Secure Territory CI intervient entre 7h-8h ;
• Les serveurs internes de Secure Territory CI sont situés dans une pièce isolée contiguë
dans une salle visible depuis la direction générale.

4) Schéma du système d’information

Le système d’information de l’entreprise est récapitulé sur le schéma ci-dessus :

2) Démarche MEHARI

1- Phase préparatoire

Cette phase nous permettra de cadrer le contexte de l’analyse de risques de notre institution.
Nous aborderons trois (3) points essentiels.

Analyse des risques en sécurité suivant la démarche MEHARI d’une institution étatique et de la défense et 9
de l’intégrité du territoire ivoirien
1-1) Prise en compte du contexte
A- Contexte stratégique

La réalisation de cette tâche a été assigné à M. Kouadio Stevens, responsable de la mission


d’analyse et de traitement des risques. Il travaille en collaboration avec les différents
responsables d’activités, la direction générale de Secure Territory CI, la direction juridique et
le RSSI.
A-1) Positionnement stratégique

Secure Territory CI est une institution qui occupe une position dominante sur le marché.
Compte tenu de son partenariat avec le ministère de la défense et des informations purement
confidentielles qui sont traitées, elle ne rencontre pas de concurrent sur le territoire ivoirien.
Aucun évènement n’est médiatisé, cette institution agit dans l’ombre pour n’éveiller aucun
soupçon.
A-2) Les contraintes pesant sur le fonctionnement et
l’organisation de l’entité

L’Etat a définis un certain nombre de contraintes que l’entité doit respecter :


• Les informations relatives au territoire ivoirien doivent rester purement confidentielles ;
• Aucune mission ne doit être effectué sans ordre du ministère de la défense ;
En dehors des contraintes légales, il existe aussi des contraintes réglementaires :
• Les exigences de qualification : des qualifications sont exigées surtout au niveau du
service militaire et du service informatique (pour garantir une bonne communication
entre les agents sur le terrain et ceux dans le local) car ce sont les services plus sollicités
an cas de missions ;
• Des réglementations spécifiques qui s’applique au portefeuille financier de l’entité
pour garantir que l’entité peut s’approprié le matériel nécessaire pour son activité. Ces
réglementations s’appliquent également au local qui nécessite un certain nombre
d’équipement : l’extincteur en cas d’incendie.
Iso définit quelques normes à respecter qui sont :
• Aménagement des locaux, pour garantir la sécurité des locaux l’aménagement des
locaux doit être bien pensé. Les coordonnées des services d’urgence et un plan de
sécurité doivent être exposé de manière lisible dans tous les bâtiments de l’entreprise ;
• Informer et former le personnel, l’entreprise doit communiquer au personnel les
mesures à prendre en cas d’accident. Une formation à la sécurité adaptée à chaque
métier doit être dispensée à tous les recruter dans l’entreprise ;
• Les équipements de sécurité, des dispositifs de sécurité doivent être installés et vérifier
régulièrement par la société ;
• Les obligations et droits des salariés concernant les normes, le règlement intérieur
de l’entreprise doit être respecté par tous les salariés sous peine de sanction.

Analyse des risques en sécurité suivant la démarche MEHARI d’une institution étatique et de la défense et 10
de l’intégrité du territoire ivoirien
A-3) La politique de sécurité de l’information

Nous définissons les objectifs de sécurité en termes de CID (Confidentialité Intégrité


Disponibilité). En effet :
• La confidentialité consistera à assurer que seules les personnes autorisées aient accès
aux ressources échangées ;
• L’intégrité, c’est garantir que les données sont bien celles que l’on croit être ;
• La disponibilité, permettant de maintenir le bon fonctionnement du système
d’information ;
Le donneur d’ordre de la mission est la direction générale de ladite entreprise.

B- Contexte technique

Ici, le responsable de la mission travaille en collaboration avec La DSI.


B-1) L’architecture du système d’information
Voir la section I.4 pour l’architecture du SI.
B-2) Fournisseurs et prestataires externes critiques
La survie de l’entreprise est assurée par des fournisseurs externes dont Orange Ci qui assure la
connexion internet avec sa solution fibre optique. Aussi, le fournisseur de logiciel est assuré par
Network Corporation.

C- Contexte organisationnel
Ici, le responsable de la mission travaille en collaboration avec la DRH, la DAF et le RSSI.
L’organigramme complet de l’entité définis à la section I.1 nous donne les rattachements
hiérarchiques et liens fonctionnels entre les différentes directions. En ce qui concerne la
sécurité, les tâches sont reparties comme suite :
• Le responsable du site, M. Traoré Nohoua
• Le responsable d’activités, M. Gueu Alex qui est tenu de suivre les différentes activités
relatives à la sécurisation du SI ;
• Le DSI, M. Agnimel Florent qui est le responsable de l’informatique dans
l’entreprise ;
• Le RSSI, Mme Brenda Kouao qui est chargée de planifier et de conduire la
gouvernance de la sécurité de l'information.

Analyse des risques en sécurité suivant la démarche MEHARI d’une institution étatique et de la défense et 11
de l’intégrité du territoire ivoirien
1-2) Le cadrage de la mission d’analyse de risques et de
traitement des risques
Le responsable de la mission a travaillé en parfaite collaboration avec le donneur d’ordre et le
RSSI pour avoir les informations suivantes :
A- Périmètre technique
Nous effectuerons la mission sur le site local de Secure Territory CI situé à Bingerville quartier
Sicogie 2 en Côte d’Ivoire. Les systèmes d’informations concernées sont les systèmes
d’informations généraux de l’entreprise qui est représenté dans son ensemble à la section I.4.
Comme types de supports, nous considérons les médias informatiques, papiers, les clé USB et
les disques durs.
B- Périmètre organisationnel
Toujours en se référant au système d’information de l’entreprise, les différents services et
départements concernés sont : le service informatique, le secrétariat général, la direction
générale, la DAF, la DRH et la direction de gestion des crises.
Dans cette mission, tous les risques liés à l’information seront pris en compte.

C- La structure de pilotage de la mission


Les membres participants à la mission sont : le responsable de la mission, le RSSI, le donneur
d’ordre et la direction générale de l’entreprise. Une réunion générale est prévue avec tous les
membres de la mission à la fin de chaque phase de la mission.
A la fin de chaque étape, un livrable est conçu de manière physique et soumis au donneur
d’ordre, celui-ci fait prendre connaissance du document à tous les autres membres de la mission.
S’ils valident tous le document alors il est signé par le donneur d’ordre.

1-3) La fixation des principaux paramètres de l’analyse des


risques
Cette tâche est assurée par le responsable de la mission en collaboration avec la direction
générale, le comité de pilotage et le RSSI
Il s’agira dans cette section de définir un ensemble de paramètres avant l’analyse de risques
proprement dite. Ce sont :
- La grille d’acceptabilité des risques ;
- La grille d’expositions Naturelles ;
- La grille d’appréciation des risques.
Ces différentes grilles sont déjà définies par « MEHARI 2010 – Principes fondamentaux et
spécifications fonctionnelles », nous allons ici les rappeler.

Analyse des risques en sécurité suivant la démarche MEHARI d’une institution étatique et de la défense et 12
de l’intégrité du territoire ivoirien
A) La grille d’acceptabilité des risques

La grille d’acceptabilité des risques servira à déterminer si un scénario de risque est


acceptable ou non.

Figure 1: grille d'acceptabilité des risques

Les différents niveaux d’impact et de potentialité sont définis ci-dessous :

Analyse des risques en sécurité suivant la démarche MEHARI d’une institution étatique et de la défense et 13
de l’intégrité du territoire ivoirien
B) La grille d’exposition naturelle
La grille des expositions naturelles ou grille des potentialités intrinsèques servira à
déterminer la potentialité intrinsèque des scénarios de risque de la base de connaissances.

Figure 2: grille d'acceptabilité d'exposition naturelle 1

Analyse des risques en sécurité suivant la démarche MEHARI d’une institution étatique et de la défense et 14
de l’intégrité du territoire ivoirien
Figure 3: grille d'acceptabilité d'expositions naturelles 2 (suite)

C) La grille d’appréciation du risque


Cette grille permet d’apprécier la potentialité et l’impact résiduels en fonction de la
potentialité et de l’impact intrinsèques et des facteurs de réductions de risque de chaque
scénario de la base de connaissance.

Ce tableau nous donne la possibilité de définis trois niveaux de risques :


• Les risques insupportables, qui devraient faire l’objet de mesures d’urgence, en
dehors de tout cycle budgétaire.
• Les risques inadmissibles qui devraient être réduits ou éliminés à une échéance à
déterminer, donc à prendre dans une planification.

Analyse des risques en sécurité suivant la démarche MEHARI d’une institution étatique et de la défense et 15
de l’intégrité du territoire ivoirien
• Les risques tolérés.
G étant la gravité globale évaluée par la grille en fonction de l’impact (I) et de la potentialité (P), une
gravité de 4 correspond à un risque insupportable, une gravité de 3 à un risque inadmissible et les
gravités inférieures (1 et 2) à des risques tolérés.

Les grilles générales sont également proposées dans la base de connaissances Méhari à la feuille
Grilles_IP

2- Phase opérationnelle d’analyse des risques

2-1) L’analyse des enjeux et la classification des actifs


A) Classification des actifs
Cette tâche est assurée par le responsable de la mission en collaboration avec les responsables
d’activités, le DSI et le RSSI.
Nous décrivons ici nos différents actifs primaires et secondaires. Ces différents actifs sont
issus de la base de connaissance de MEHARI 2010. Vu que nous utilisons comme base de
connaissances MEHARI Standard, nous ne présenterons pas les processus de management.
La classification a été établi en remplissant les tableaux de classification T1 et T2 de la base
de connaissances. Veuillez consulter les feuilles « T1 » et « T2 ».

B) Tableau d’impact intrinsèque

Cette tâche est assurée par le responsable de la mission en collaboration avec les responsables
d’activités, la direction de la communication et le RSSI.
Le tableau d’impact intrinsèque sera utilisé pour apprécier les risques de la base de
connaissances.
Ce tableau a été rempli, veuillez consulter la feuille « Classif » de la base de connaissances
MEHARI Standard 2010. Celle-ci sera attachée au projet.

2-2) Le diagnostic de la qualité des services de sécurité


A- Etablissement du schéma d’audit

Le responsable de la mission a travaillé en parfaite collaboration avec le donneur d’ordre, le


responsable des services généraux, le DSI et le RSSI pour avoir les informations qui suivront.
Le schéma d’audit va nous permettre de distinguer des domaines de solutions à auditer
séparément et à l’intérieur desquels les solutions de sécurité seront considérées comme
homogènes. Les différents domaines, que propose Mehari, appliqués à notre mission nous
donne le schéma suivant :

Analyse des risques en sécurité suivant la démarche MEHARI d’une institution étatique et de la défense et 16
de l’intégrité du territoire ivoirien
Domaine Sous-domaines Sous-ensemble
Organisation L’entreprise
.Sites Le siège Le siège
Locaux Les locaux gérés par les Les salles informatiques
services généraux Locaux techniques
Les locaux informatiques et
télécommunications
Architecture des réseaux Les réseaux informatiques Les réseaux informatiques
locaux
Les systèmes Les systèmes informatiques Le système Mainframe
Les systèmes ouverts
(Windows et Unix)
La sécurité des projets
La production
informatique
Les postes de travails Les postes bureautiques
utilisateurs
L’exploitation des
télécommunications
Les processus de gestion
La gestion de la sécurité de
l’information

NB : les cases vides signifient qu’il n’y a pas d’éclatement pour le domaine concerné.

B- Diagnostic de la qualité des services de sécurité


La qualité des services de sécurité est la capacité de résistance à différents types
d’attaque, en notant qu’aucune forteresse n’est inviolable.
La qualité d’un service de sécurité est notée sur une échelle allant de 0 à 4. Cette
échelle reflète le niveau de force ou de compétence qu’il faut avoir pour violer le
service, le court-circuiter et/ou inhiber ou rendre inefficace la détection de sa mise hors
circuit.
Qualité de service évaluée à 1 : Le service a une qualité minimale. Il ne peut pas être
efficace à une personne quelconque, sans qualification particulière, ou tant soit peu initiée ou,
dans le domaine des événements naturels, ne pas être efficace face à événement relativement
banal. Pour une mesure générale, elle aura très peu d’effet sur les comportements ou
l’efficacité de l’organisation
Qualité de service évaluée à 2 : Le service reste efficace et résiste à un agresseur moyen,
voire initié, mais pourrait être insuffisant contre un bon professionnel du domaine concerné.
Dans le domaine des événements naturels, un tel service pourrait être insuffisant pour des
événements très sérieux, considérés comme rares.

Analyse des risques en sécurité suivant la démarche MEHARI d’une institution étatique et de la défense et 17
de l’intégrité du territoire ivoirien
Qualité de service évaluée à 3 : Le service reste efficace et résiste aux agresseurs et
événements décrits ci-dessus, mais pourrait être insuffisant contre des spécialistes en
cybersécurité ou des événements exceptionnels (catastrophes naturelles).
Qualité de service évaluée à 4 : Il s’agit du niveau le plus élevé et le service de sécurité reste
efficace et résiste aux agresseurs et événements décrits ci-dessus. Mais, il pourrait être mis en
brèche par des circonstances exceptionnelles : meilleurs experts mondiaux dotés d’outils
exceptionnels ou concours exceptionnels de circonstances elles-mêmes exceptionnelles.

Ainsi donc, nous diagnostiquons nos services de sécurité comme suite :

Services Echelle de la qualité de service

La sécurité des projets 4


Les systèmes 3
Les postes bureautiques 2
La gestion de la sécurité de l’information 4
Les réseaux informatiques 3
Locaux techniques 4
Salles informatiques 3

2-3) L’appréciation des risques

A) Sélection des scénarios de risques


Sont parties prenantes de cette tâche : les responsables d’activité et le RSSI.
Nous sélectionnons les scénarios de risques dans la base de connaissance de Mehari-Standard.
Ces risques sont reportés dans le tableau ci-dessous, ce sont les risques que nous jugeons
pertinents.

Type de scénarios de risque Libellé du scénario


Effacement par erreur de fichiers bureautiques
Pertes ou pollution de fichiers de données personnels, par une personne autorisée

Altération de fichiers de données ou de Effacement par erreur de fichiers de données


programmes externalisées, par un utilisateur autorisé
légitime

Analyse des risques en sécurité suivant la démarche MEHARI d’une institution étatique et de la défense et 18
de l’intégrité du territoire ivoirien
Divulgation ou de détournement de fichiers de Effacement accidentel de fichiers bureautiques,
données suite à un virus

Perte accidentelle de données en transit :


Perte de données individuelles sensibles, de messages ou transactions en attente de
données en transit ou de messages traitement, suite à un incident d'exploitation

Altération de données individuellement Manipulation malveillante de données


sensibles, de données en transit ou de (individuellement) sensibles, en exploitation,
messages par un utilisateur autorisé illégitime
Divulgation de données après consultation ou Détournement de données sensibles en transit
captation par usurpation de l'identité d'un serveur
applicatif
Perte de courriels (en cours d'envoi ou de Perte de courriels en cours d'envoi ou de
réception) réception, suite à une erreur de manipulation
Altération de courriels en cours d'envoi ou de Manipulation malveillante de courrier
réception électronique en cours d'envoi ou de réception,
par un membre du personnel doté de droits
privilégiés
Divulgation de courriels en cours d'envoi ou de Divulgation accidentelle de courriel, par erreur
réception d'adressage
Indisponibilité de service informatique ou de Blocage de comptes nécessaires à l'utilisation
communication de services informatiques, dû à une attaque en
blocage de comptes
Altération des configurations (paramétrage ou Altération malveillante (non détectée) de
logiciels) des services informatiques configurations (code, paramétrage, etc.) de
services applicatifs, lors d'une opération de
maintenance
Perte de documents Perte, par destruction accidentelle, d'archives
de documents, suite à un accident grave dû à
l'environnement (incendie, inondation, etc.)
Divulgation de données par perte ou vol de Divulgation d'informations, par vol de PC
media support portable contenant des fichiers bureautiques
personnels, dans les bureaux, par un membre
du personnel de l'entreprise
Indisponibilité de l'infrastructure informatique Endommagement malveillant de système
et réseau informatique interne ou de publication sur un
site web, par vandalisme dans les locaux de
l'exploitation, par un membre du personnel
autorisé

B) Estimation des risques


Avec le RSSI comme partie prenante et le responsable de la mission, nous estimons les
risques.
L’étape de l’estimation des risques consiste à dresser un bilan de la gravité des scénarios de
risques sélectionnées, en fonction des facteurs de réduction de risque découlant de l’état des
services de sécurité. En effet, la gravité de chaque risque est calculée automatiquement dans

Analyse des risques en sécurité suivant la démarche MEHARI d’une institution étatique et de la défense et 19
de l’intégrité du territoire ivoirien
la base de connaissance de Mehari-Standard à la feuille Scénario dans la cellule gravité
calculée.
Nous reportons dans le tableau ci-dessous la gravité de chaque risque calculé selon la base de
connaissance de Mehari-Standard.

Libellé du scénario de risque Gravité calculée

Effacement par erreur de fichiers bureautiques


personnels, par une personne autorisée 2

Effacement par erreur de fichiers de données


externalisées, par un utilisateur autorisé 4
légitime
Effacement accidentel de fichiers
bureautiques, suite à un virus 3

Perte accidentelle de données en transit :


messages ou transactions en attente de 4
traitement, suite à un incident d'exploitation
Manipulation malveillante de données
(individuellement) sensibles, en exploitation, 3
par un utilisateur autorisé illégitime
Détournement de données sensibles en transit
par usurpation de l'identité d'un serveur 4
applicatif
Perte de courriels en cours d'envoi ou de 3
réception, suite à une erreur de manipulation
Manipulation malveillante de courrier
électronique en cours d'envoi ou de réception, 3
par un membre du personnel doté de droits
privilégiés
Divulgation accidentelle de courriel, par erreur
d'adressage 1

Blocage de comptes nécessaires à l'utilisation


de services informatiques, dû à une attaque en 3
blocage de comptes
Altération malveillante (non détectée) de
configurations (code, paramétrage, etc.) de 3
services applicatifs, lors d'une opération de
maintenance
Perte, par destruction accidentelle, d'archives
de documents, suite à un accident grave dû à 3
l'environnement (incendie, inondation, etc.)
Divulgation d'informations, par vol de PC
portable contenant des fichiers bureautiques 3

Analyse des risques en sécurité suivant la démarche MEHARI d’une institution étatique et de la défense et 20
de l’intégrité du territoire ivoirien
personnels, dans les bureaux, par un membre
du personnel de l'entreprise
Endommagement malveillant de système
informatique interne ou de publication sur un
site web, par vandalisme dans les locaux de 3
l'exploitation, par un membre du personnel
autorisé

3- Phase de planification du traitement des risques

3-1) Planification des actions immédiates


A) Sélection des risques à traiter en priorité
Sont parties prenantes de cette tâche les responsabilités d’activité et le RSSI.
Nous sélectionnons ici les risques à traiter en priorité. La feuille « Tbord » de la base de
connaissance nous apprends qu’il y a beaucoup plus de risques au niveau de gravité 3 et 4.
Nous traiterons donc ces risques en priorité.
B) Choix des mesures à mettre en œuvre immédiatement
Sont parties prenantes de cette tâche les responsabilités d’activité le RSSI et la Direction
Générale.
Le choix de nos mesures va consister à réduire le niveau de gravité des risques à traiter dans
l’immédiat c’est-à-dire nous réduirons un risque de niveau de gravité 4 en le faisant passer au
niveau 3, puis le risque de niveau de gravité 3 sera réduit en le faisant passer au niveau de
gravité 2.
Ainsi, la feuille « Sel_Projets » de la base de connaissance de Mehari nous donne un
ensemble de mesures à mettre en œuvre pour la gestion de nos risques.

Libellé du Scénarios Niveau de gravité Choix de la mesure

Effacement par erreur de Sauvegarde de données et


fichiers de données 4 configurations externalisées
externalisées, par un
utilisateur autorisé légitime
Effacement accidentel de Protection contre les
fichiers bureautiques, suite à 3 malwares
un virus
Perte accidentelle de Organisation de la
données en transit : maintenance des systèmes et
messages ou transactions en 4 applications
attente de traitement, suite à
un incident d'exploitation

Analyse des risques en sécurité suivant la démarche MEHARI d’une institution étatique et de la défense et 21
de l’intégrité du territoire ivoirien
Manipulation malveillante Gestion des autorisations
de données d'accès aux systèmes et
(individuellement) sensibles, 3 applications
en exploitation, par un
utilisateur autorisé illégitime
Détournement de données - Chiffrement des
sensibles en transit par 4 données applicatives
usurpation de l'identité d'un stockées
serveur applicatif - Chiffrement des
échanges de données
Perte de courriels en cours Contrôle de l’émission ou de
d'envoi ou de réception, 3 la réception de données ou
suite à une erreur de de messages
manipulation
Manipulation malveillante
de courrier électronique en Protection de l’intégrité des
cours d'envoi ou de 3 échanges de données
réception, par un membre du
personnel doté de droits
privilégiés
Blocage de comptes Gestion des autorisations
nécessaires à l'utilisation de d’accès aux systèmes et
services informatiques, dû à 3 applications
une attaque en blocage de
comptes
Altération malveillante (non - Contrôle des
détectée) de configurations configurations
(code, paramétrage, etc.) de 3
services applicatifs, lors - Sécurité de la
d'une opération de maintenance
maintenance logicielle
Perte, par destruction Protection contre les risques
accidentelle, d'archives de 3 environnementaux divers
documents, suite à un
accident grave dû à
l'environnement (incendie,
inondation, etc.)
Divulgation d'informations,
par vol de PC portable
contenant des fichiers 3 Protection du poste de
bureautiques personnels, travail
dans les bureaux, par un
membre du personnel de
l'entreprise
Endommagement
malveillant de système
informatique interne ou de Contrôle d’accès aux locaux
publication sur un site web, 3 sensibles
par vandalisme dans les
locaux de l'exploitation, par

Analyse des risques en sécurité suivant la démarche MEHARI d’une institution étatique et de la défense et 22
de l’intégrité du territoire ivoirien
un membre du personnel
autorisé

3-2) Planification des mesures à décider dans le cadre courant


Sont parties prenantes de cette tâche les responsabilités d’activité, le RSSI et le RSSI.

A- Stratégie de traitement et priorités


Nos risques à traiter en priorité étant sélectionnés dans le point précédent, nous compter
appliquer une stratégie de traitement de réduction du risque afin de réduire le niveau de
gravité du risque à un niveau inférieur.

B- Choix des mesures et planifications


Nous définissons un plan d’actions qui va nous permettre de réduire les risques considérés. Le
budget alloué à la gestion des risques étant largement suffisant, tous les risques à traiter en
priorité ayant été sélectionnés seront traités.
Les risques sélectionnés seront traités sur une longue durée, soit jusqu’en 2029 à cause de la
pertinence de nos mesures de sécurité adoptées.

3-3) Mise en place du pilotage du traitement des risques


Sont parties prenantes de cette tâche les responsabilités d’activité, le RSSI et le RSSI.

A- Organisation du pilotage

La mise en place d’un comité d’organisation de suivi et d’un comité de pilotage est primordial
pour le traitement des risques. Ainsi, le responsable de la mission M. Kouadio Stevens en
collaboration avec le RSSI a élaboré un plan d’organisation qui se présente comme suit :
➢ Le comité de pilotage, qui est l’organe clé dans la conduite du traitement des risques.
Il s’assure du bon déroulé des opérations (qui sont les différentes mesures de sécurité à
mettre en place) en fonction des objectifs généraux et entretient une dynamique au
sein des différents acteurs impliqués. Il se compose de :
- Le maître d’ouvrage, qui est le président du comité de pilotage : Mlle Traoré
Zéla ;
- Le responsable de la maîtrise d’œuvre : M. Konan Gnamien ;
- Le directeur de projet : M. Lago Boris ;
➢ La fréquence des réunions de pilotage, les réunions de pilotage permettront de
suivre l’avancement du projet et ainsi lever les différentes difficultés qui pourraient
exister, c’est pourquoi nous définissions nos réunions à 1 fois par mois. Une réunion
peut également être convoquée en dehors des jours de réunions définies en cas
d’extrême urgence ;

Analyse des risques en sécurité suivant la démarche MEHARI d’une institution étatique et de la défense et 23
de l’intégrité du territoire ivoirien
➢ Les missions du comité : le comité a pour mission de valider les décisions
importantes et de les abriter quand nécessaire.

B- -Choix des indicateurs et du tableau de bord

Le choix des indicateurs et du tableau de bord permettra au comité de pilotage de ;


• Vérifier le déploiement des mesures décidées et l’avancement des projets
• Vérifier l’évolution des niveaux de risques
• Décider des actions correctrices nécessaires
Consultez la feuille Tbord de la base de connaissance de Mehari Standard pour prendre
connaissance du tableau de bord.

Analyse des risques en sécurité suivant la démarche MEHARI d’une institution étatique et de la défense et 24
de l’intégrité du territoire ivoirien
Conclusion

En somme, il était question de faire l’analyse de risques de l’entreprise Secure Territory CI


suivant la démarche MEHARI. Nous avons décelé au total 14 risques pertinents et décidé de
traiter en priorités les risques de niveau de gravité 3 et 4. Pour traiter ces risques, nous avons
adopter la stratégie de réduction qui consiste à réduire le niveau de gravité du risque à un
niveau inférieur. Une bonne application des mesures de sécurité énoncé plus haut permettra de
réduire tous ces risques et donc assurer la crédibilité de ladite entreprise.
Cependant, une analyse de risques est conseillée au moins une fois chaque année afin de prendre
connaissance des risques dans l’entreprise et développer une bonne stratégie de traitement. Ce
qui permettra d’assurer la sécurisation du système d’informations et d’améliorer la gouvernance
du système.

Analyse des risques en sécurité suivant la démarche MEHARI d’une institution étatique et de la défense et 25
de l’intégrité du territoire ivoirien
Bibliographie

[1] MEHARI 2010 : Principes fondamentaux et spécifications fonctionnelles, © CLUSIF


2010 ;
[2] MEHARI 2010 : Guide de la démarche V2, © CLUSIF 20111 ;
[3] MEHARI 2010 : Guide du diagnostic de l’état des services de sécurité, © CLUSIF 2010 ;
[4] MEHARI 2010 : Etude 𝑀𝐸𝐻𝐴𝑅𝐼 𝑇𝑀 Senilom, © CLUSIF 2010 ;

Analyse des risques en sécurité suivant la démarche MEHARI d’une institution étatique et de la défense et 26
de l’intégrité du territoire ivoirien
Table des matières
Introduction ......................................................................................................................................3
I) Présentation de l’entreprise « Secure Territory CI » ...............................................................4
1) Organigramme de la société.....................................................................................................4
a- Direction générale de Secure Territory .................................................................................4
b- Le Secrétariat Général .........................................................................................................5
c- Direction Administration et Finance ....................................................................................5
d- Direction des ressources humaines .......................................................................................5
e- Direction de gestion des crises .............................................................................................6
f- Service informatique............................................................................................................7
2) Service Informatique de l’entreprise ............................................................................................7
2-1) Matériels..............................................................................................................................7
2-2) Logiciels et licences .............................................................................................................7
2-3) Réseaux ...............................................................................................................................7
3) Sécurité en place .........................................................................................................................8
3.1) Système d’information .............................................................................................................8
3.2) Siège général ...........................................................................................................................8
4) Schéma du système d’information...............................................................................................9
2) Démarche MEHARI .................................................................................................................9
1- Phase préparatoire ...................................................................................................................9
1-1) Prise en compte du contexte ........................................................................................... 10
1-2) Le cadrage de la mission d’analyse de risques et de traitement des risques ..................... 12
1-3) La fixation des principaux paramètres de l’analyse des risques ....................................... 12
2- Phase opérationnelle d’analyse des risques ............................................................................ 16
2-1) L’analyse des enjeux et la classification des actifs .............................................................. 16
2-2) Le diagnostic de la qualité des services de sécurité ............................................................. 16
2-3) L’appréciation des risques .................................................................................................. 18
3- Phase de planification du traitement des risques ..................................................................... 21
3-1) Planification des actions immédiates .............................................................................. 21
3-2) Planification des mesures à décider dans le cadre courant ............................................... 23
3-3) Mise en place du pilotage du traitement des risques........................................................ 23
Conclusion........................................................................................................................................ 25
Bibliographie................................................................................................................................... 26

Analyse des risques en sécurité suivant la démarche MEHARI d’une institution étatique et de la défense et 27
de l’intégrité du territoire ivoirien

Vous aimerez peut-être aussi