Audit+Scurit+SI - Copie

ROYAUME DU MAROC
TRÉSORERIE GÉNÉRALE DU ROYAUME.
Schéma Directeur Informatique et

des Télécommunications.
Étude de l’existant et diagnostic du

système d’information actuel.
Rapport d'Audit de la Sécurité du
Système d'Information.
Version 2 Définitive
avril 2008.
Consulting
TRÉSORERIE GÉNÉRALE DU ROYAUME
Schéma Directeur Informatique et des Télécommunications.
Étude de l’existant et diagnostic du SI actuel. Audit de la Sécurité du SI.
REMERCIEMENTS .
Nous tenons à remercier tous nos interlocuteurs pour l'accueil qu'ils

nous ont réservé et la bonne grâce qu'ils ont apporté pour répondre
aux questions que nous avons posées.
Nous voulons également remercier tout particulièrement Monsieur Le

Trésorier Général, Messieurs les Directeurs, Messieurs les Chefs des
Divisions, Messieurs les Chefs des services, Messieurs les Trésoriers
Régionaux et Préfectoraux, l'ensemble des dirigeants, des
responsables et des utilisateurs pour leur participation active à cette
étude.
Référence document : Audit sécurité SI.doc Date : 18/04/2008 Page : 2

SOMMAIRE.
1. Préface. 4
2. Objectifs et champs de l’étude. 4
3. Méthodologie. 4
4. Constats et analyse du questionnaire. 5
4.1. Points Forts. 8
4.2. Points Faibles. 8
5. Conclusion. 9
5.1. Rappel des objectifs généraux. 9
5.2. Situation de la Trésorerie Générale. 10
6. Recommandations. 11
6.1. A la direction. 11
6.2. A la division du personnel. 11
6.3. A la fonction chargée de la sécurité. 12
6.4. Au Comité de pilotage des projets en cours. 12
6.5. A la Division des moyens Généraux. 13
6.6. A la filière informatique. 14
7. Plan d’action. 16
8. Annexes 18
8.1. Liste des personnes interviewées. 18
8.2. Lexique des terminologies techniques informatiques. 19

1. PREFACE.
Cette étude à été effectuée dans le cadre de l’étude schéma directeur du système
d’information de la Trésorerie Générale.
Compte tenu du caractère confidentiel de cette partie, elle a été dissociée du rapport
global et a fait l’objet de ce document séparé.
Pour le contexte globale, la démarche générale, se référer au rapport intitulé « Étude de
l’existant et diagnostic du système d’information actuel ».
2. OBJECTIFS ET CHAMPS DE L’ETUDE.

L’objet de cette étude est d’évaluer le niveau de sécurité du système d’information de la
Trésorerie Générale, c’est-à-dire d’apprécier dans quelle mesure la disponibilité,
l’intégrité et la confidentialité des informations de la Trésorerie Générale sont assurées.
C’est la sécurité des activités de la Trésorerie Générale, et non les seules activités
informatiques, qui constitue la préoccupation fondamentale de cette approche.
Cette étude à été réalisée dans le cadre de l’étude schéma directeur du système
d’information qui peut aboutir à doter la Trésorerie Générale d’un environnement
bénéficiant (ou susceptible de bénéficier) des derniers développements technologiques
en matériels et en logiciel, y compris pour la gestion de la sécurité.
Nous avons par conséquent mené notre étude en fonction de deux préoccupations :
 Quel est le niveau de sécurité actuel et que faire pour l’améliorer ?
 Quelles sont les dispositions à prendre pour que les projets du schéma directeur
fournissent un système d’information répondant à ses besoins en matière de
sécurité ?
Le schéma directeur en cours constitue pour la Trésorerie Générale l’opportunité
d’élaborer un système d’information non seulement performant, mais également sûr.
3. METHODOLOGIE.
Nous avons évalué la sécurité du système d’information de la Trésorerie Générale en
utilisant comme méthode de référence MARION.
La méthode Marion a été élaborée par des assureurs et des responsables de la sécurité
informatique. Elle se base sur un questionnaire qui couvre tous les chapitres de la
sécurité du système d’information.
Nous avons complété les informations obtenues par des entretiens supplémentaires ou
des observations directes lorsque cela était possible.
L’étude a porté sur l’ensemble des prestations informatiques fournies aux utilisateurs
sous la responsabilité des divisions informatiques de la Trésorerie Générale.
Les conclusions dégagées ont une portée qui couvre toute la Trésorerie Générale.

4. CONSTATS ET ANALYSE DU
QUESTIONNAIRE.
Ci-après les résultats de l’exploitation des données recueillies et enquêtes réalisées.
Ces résultats sont présentées sous forme de rosace.
La rosace représente l’évaluation des 27 facteurs de la sécurité telle qu’elle est définie
par la méthode Marion, à chaque axe sur la rosace correspond un facteur.
L’évaluation représente la qualité de l’activité de sécurité considérée (échelle de 0 à 4).
L’évaluation peut être lue de la manière suivante :
 Entre 3 et 4 : Activité sous contrôle. Pas de risque significatif.
 Entre 2 et 3 : Contrôles insuffisants. Amélioration nécessaire.
 Inférieur à 2 : Manque de contrôle grave. Action prioritaire.
Remarque :
Il n’y a pas de relation directe entre la note obtenue pour une activité et les compétences
ou la qualité du travail fourni par le personnel responsable de cette activité.
La faiblesse d’une note, pour une activité apparaissant a priori comme essentiellement
technique, peut être due (et c’est souvent le cas) à l’absence ou à l’insuffisance de
procédures formalisées. Cette insuffisance provient elle-même de l’absence d’un cadre
réglementaire qui, faute d’une organisation adéquate, ne peut être élaboré ni diffusé.
La prédominance des points faibles par rapport aux points forts ne signifie pas
qu’aucune mesure concrète n’a été prise jusqu’à présent ou que des missions assignées
n’ont pas été correctement remplies en matière de sécurité.
L’intervention ayant pour objectif d’aider la Trésorerie Générale à pallier ses faiblesses,
il est naturel que l’emphase soit mise sur ces derniers.

L'organisation générale
La sécurité des progiciels Les contrôles permanents
3,5
Les contrôles programmés La réglementation
3
Sécurité des développements applicatifs Les facteurs socio-économiques
2,5
Les procédures de réception L'environnement de base
2
La maintenance 1,5 Les contrôles d'accès
1
La sûreté de l'exploitation La pollution
0,5
0
La sauvegarde Les consignes de sécurité
Le transfert classique des données La sécurité incendie
L'archivage / désarchivage La sécurité dégâts des eaux
La protection des données La fiabilité de fonctionnement des matériels informatiques
La sécurité des télécommunications Les systèmes et procédures de secours
La sécurité offerte par le matériel et le logiciel de base Cohérence des systèmes

Les plans informatique et de sécurité Formation du personnel


L’interprétation de ces résultats et de la rosace obtenue, peut être résumée en terme de points
forts et faibles de la sécurité du système d’information actuel de la TGR.
4.1. POINTS FORTS.

 La sensibilisation des Cadres de la Trésorerie Générale à la sécurité est effective, de
même le personnel informatique rencontré fait preuve d’une motivation et d’un
dévouement certains.
 A l’occasion du l’étude schéma directeur en cours, l’organisation de la division
informatique est amenée à être revue, ceci permettra d’y inscrire les structures
hiérarchiques et fonctionnelles nécessaires à la gestion de la sécurité.
 L’environnement technique informatique permet l’installation d’outils de gestion de la
sécurité, pour le développement des applications comme pour leur exploitation (leur
efficacité dépendra des mesures d’accompagnement en termes d’organisation et de
procédures au niveau de la Trésorerie Générale).
 La majorité des équipements de la Trésorerie Générale sont couverts par un contrat
de maintenance satisfaisant.
 Les choix du précédent schéma directeur informatique ont offert à la Trésorerie
Générale un environnement ouvert et une bonne cohérence du système.
 La solution de contrôle d’accès actuel et ses améliorations prévues pour le futur siège
semblent assurer un bon niveau de sécurité en ce qui concerne le siège de la TGR.
4.2. POINTS FAIBLES.

 La responsabilité de la Sécurité du Système d’Information de la Trésorerie Générale
n’est pas affectée à un niveau de management adéquat. La Division Informatique,
seule missionnée à ce jour en matière de sécurité des informations, ne peut assumer
cette responsabilité (la sécurité du système d’information est l’affaire de toute la
Trésorerie Générale, le rôle des utilisateurs est fondamental...).
 L’organisation nécessaire à la gestion de la sécurité du système d’information n’existe
pas actuellement. En particulier, les rôles et responsabilités respectifs du
management, des propriétaires d’applications, du prestataire de services
informatiques et des utilisateurs dans le domaine de la sécurité ne sont pas définis.
 Il n’existe pas de règlement intérieur ou de charte déontologique, qui précise les
obligations et les responsabilités du personnel quant à l’utilisation, la conservation et
l’archivage des biens informatiques en fonction des niveaux de classification ainsi
que les limites du domaine du secret professionnel avec les modalités de sa
protection.
 Absence de procédures formalisées relatives à la sécurité informatique distribuée aux
utilisateurs (règles de confidentialité, contrôles de validité de certaines données,
sauvegarde des documents stratégiques, etc.).
 La TGR ne procède pas périodiquement à des contrôles (dans le cadre de procédures
formelles) des informations et des traitements sensibles.
 Les consignes générales de sécurité ne sont pas correctement affichées (sécurité
incendie, sécurité des personnes, marche à tenir en cas de sinistre…).

 En cas de sinistre majeur affectant durablement la disponibilité du système

informatique, il n’existe pas de plan de Continuité formalisé destiné à reprendre les
applications vitales sur des installations de secours dans les délais requis par les
activités de la Trésorerie Générale.
 Les informations et biens informatiques ne sont pas classifiés en fonction de leur
degré de confidentialité, de sensibilités et de vitalité. Ceci se traduit par l’absence de
traitement spécifique des données en fonction de leur classification (chiffrement,
transport sécurisé…).
 Le niveau de formation et d’information de l’ensemble du personnel de la TGR, en
terme de sécurité en général et de sécurité du système d’information en particulier,
est insuffisant et non programmé d’une manière systématique et généralisée.
 Absence de dispositif de détection des dégâts des eaux et absence de formalisation
des procédures en cas de sinistre relatif à ce type de dégâts.
5. CONCLUSION.
5.1. RAPPEL DES OBJECTIFS GENERAUX.

Le dispositif de sécurité du système d’information doit garantir :
 La disponibilité ;
 L’intégrité ;
 La confidentialité.
Des informations sur lesquelles reposent les activités de la Trésorerie Générale, quels
que soient les moyens de traitement et de communication utilisés.
Ce dispositif doit être exhaustif et cohérent. Il doit s’adapter à l’évolution des activités
de la Trésorerie Générale, de même qu’aux changements de son informatique. Il
requiert la participation de toutes les personnes concernées dans la Trésorerie
Générale :
 Fonctions utilisatrices (propriétaires des informations) ;
 Prestataire de service (fonction informatique) ;
 Utilisateurs (créateurs ou utilisateurs d’informations) ;
 Management et, au premier chef, la Direction Générale.
Remarque :
La redéfinition du système d’information, en particulier lorsqu’elle s’accompagne d’une
migration technologique, permet d’y intégrer facilement et au moindre coût les éléments
nécessaires à sa sécurité.

5.2. SITUATION DE LA TRESORERIE GENERALE.

Compte tenu des informations recueillies et de nos observations, nous sommes amenés
à conclure que :
 La disponibilité des services informatiques vitaux n’est pas garantie par un Plan de
Continuité formalisé et détaillé.
 L’organisation actuelle relative au volet sécurité, ainsi que les procédures y
afférentes, sont soit absentes, soit non formalisées. Ce qui affecte le niveau de
protection du système d’information de la Trésorerie Générale.
 Des mesures spécifiques et immédiates doivent être prises pour que le système
d’information issu du schéma directeur puisse apporter à la Trésorerie Générale une
meilleure sécurité que le système d’information actuel.
Remarque :
Il convient de souligner les efforts de la direction informatique pour assurer la sécurité de
ses activités et celles des informations dont elle assure le traitement. Cependant la
maîtrise de la sécurité du système d’information nécessite que ces efforts soient relayés
par l’ensemble des Directions Utilisatrices dans le cadre d’un plan cohérent au niveau de
toute la Trésorerie Générale.

6. RECOMMANDATIONS.
La formulation d’une recommandation ne signifie pas qu’aucune mesure concrète n’a
été prise jusqu’à présent ou que des missions assignées n’ont pas été correctement
remplies en matière de sécurité.
6.1. A LA DIRECTION.
Nous recommandons d’affecter la responsabilité de la Sécurité du Système
d’Information de la TGR à la Fonction de la Trésorerie Générale la mieux disposée pour
assurer la cohérence et l’exhaustivité du dispositif.
Cette fonction devrait présenter les caractéristiques suivantes :
 Rapporter directement à la Direction générale ;
 Etre hiérarchiquement indépendante de la Division Informatique et réciproquement ;
 Ne pas être un utilisateur important des services informatiques.
Remarque :
Cette fonction de Direction ne doit pas être confondue avec l’exercice de responsabilités
correspondant à des compétences techniques et qui sont réparties dans la Trésorerie
Générale (par exemple, à la Division Informatique pour la sécurité logique et les choix
techniques, ou à la Division des moyens Généraux pour la sécurité physique).
6.2. A LA DIVISION DU PERSONNEL.

Compte tenu des résultats constatés et des leurs analyses, nos recommandations pour
la Division des Ressources Humaines sont :
 Etudier avec la Division informatique, les consignes de sécurité ainsi que la charte
d’utilisation des moyens informatiques et améliorer la procédure d’installation du
nouveau personnel.
 Introduire dans les définitions des tâches pour l’ensemble du personnel en y
inscrivant les responsabilités en matière de sécurité de l’information et les
engagements de confidentialité.
 Faire un suivi rigoureux des mutations ainsi que des passages de stagiaires et en
tenir au courant le service informatique.
 Mettre en place un plan de formation et de sensibilisation à la sécurité des systèmes
d’information pour l’ensemble du personnel.

6.3. A LA FONCTION CHARGEE DE LA SECURITE.

Nos recommandations pour la fonction qui sera chargée de la sécurité sont :
 Effectuer une étude de la vitalité des applications de la Trésorerie Générale afin
d’élaborer le cahier des charges du Plan de Continuité pour les Centres
Informatiques de la Trésorerie Générale.
 Faire élaborer, avec la participation des acteurs concernés, les règles de gestion de la
Sécurité du Système d’Information qui doivent définir en particulier :
 Les rôles et les responsabilités des propriétaires d’applications, des prestataires de
services informatiques, des utilisateurs et du management de la Trésorerie
Générale à tous les niveaux ;
 Les modalités d’intégration et de validation des spécifications générales de sécurité
intégrées dans les applications des Projets du schéma directeur ;
 Les critères communs de classification des informations (sensibilité et
confidentialité) ;
 En application de ces règles, faire élaborer avec la participation des acteurs
concernés, des procédures de sécurité opérationnelles et auditables ;
 Définir les modalités d’éducation de tous les acteurs ;
 Faire contrôler périodiquement l’application des règles et des procédures ;
 Rendre compte périodiquement à la Direction ;
 Organiser des missions d’audit général (interne ou externe) durant au moins 3 jours
par an et qui consacre au moins le tiers du temps à l’informatique.
6.4. AU COMITE DE PILOTAGE DES PROJETS EN

COURS.
Nos recommandations pour le Comité de Pilotage sont :
 Identifier et désigner des propriétaires pour les projets en cours, en collaboration
avec la Direction chargée de la sécurité ;
 Vérifier l’existence des spécifications générales de sécurité des applications et projets
du schéma directeur. S’assurer que ces spécifications ont été bien validées par les
instances compétentes ;
 S’assurer de la participation effective des utilisateurs à tous les projets du schéma
directeur ;
 Contrôler la qualité des documentations produites par les projets et veiller à la mise
à jour de la documentation en cohérence avec l’évolution des projets et des
applications.

6.5. A LA DIVISION DES MOYENS GENERAUX.

Nos recommandations pour la Division des Moyens Généraux sont :
 Détection.
 Rendre opérationnel le système de détection incendie et installer un système de
détection d’humidité.
 Mettre en place des moyens de télésurveillances.
 Incendie.
En relation avec la Division Informatique, étudier l’aménagement du futur Centre
Informatique et de l’espace environnant afin de :
 Minimiser les risques d’incendie et ses conséquences éventuelles ;
 Mettre aux normes les moyens de luttes et de préventions (consignes, extincteurs,
portes coupe-feu…) ;
 Assurer la sécurité des personnes ;
 Assurer la formation et l’information du personnel.
 Dégâts des eaux.
 Evaluer les risques de dégâts des eaux liés dans les locaux du futur centre
informatique, et placer les mesures de protection qui s’imposent.
 Installer un système de détection d’humidité dans le faux plancher du futur
centre.
 Intrusion.
En relation avec la Division Informatique : veiller à rendre opérationnel le dispositif
de contrôle des accès au Centre Informatique, afin de limiter l’accès aux zones
préalablement définies sur la base du strict besoin professionnel.
 Maintenance.
 Généraliser avec la Division Informatique la mise en place des contrats de
maintenance préventive du parc matériel, des systèmes de détection et des
systèmes de protection du centre informatique.
 En relation avec la Division Informatique instaurer une procédure de suivi des
travaux de maintenance.
 Exiger des fournisseurs une maintenance régulière et préventive et non des
interventions à la demande.
 Assurance.
Revoir les contrats d’assurance actuels afin de garantir une réelle couverture de la
Trésorerie Générale.
 Electricité.
Profiter du déménagement afin de :
 Mettre aux normes les installations électriques, les moyens de protection et
protéger l’arrivée électrique.
 Brancher l’éclairage de secours sur les onduleurs et éventuellement la
climatisation.
 Isoler ou séparer l’alimentation électrique du centre informatique du reste du
bâtiment.
 Protéger les blocs d’alimentation électrique des centres informatiques et des
systèmes de détection.

6.6. A LA FILIERE INFORMATIQUE.

Nos recommandations pour la Filière Informatique sont :
 Organisation.
 Formaliser les responsabilités respectives des différents cadres et responsables en
matière de Sécurité.
 Mettre en place et formaliser les procédures de :
- Gestion des sources des programmes ;
- Recette et mise en exploitation des applications au niveau central et services
externes ;
- Gestion des demandes de travaux à l’informatique ;
- Gestion de la documentation ;
 Définir ou revoir la stratégie de gestion des sauvegardes & archives ;
 Identifier les ressources humaines critiques et mettre en place un système
progressif de rotation et d’enrichissement des tâches.
 Sécurité physique.
 En relation avec la Division des Moyens Généraux, définir les différentes zones
dans l’espace du Centre Informatique ;
 Définir et mettre en œuvre les procédures de gestion du dispositif de contrôle
sélectif des accès au Centre Informatique lorsqu’il sera opérationnel.
 Exploitation.
 Réaliser d’une manière formalisée et continue le suivi des mises à jours des
versions des systèmes (OS et IOS) ainsi que pour les logiciels réseau,
administration et sécurité utilisés ;
 En relation avec les services chargés du développement des applications, définir
les procédures de recette des nouvelles applications et des applications modifiées ;
 Définir une procédure formalisée de circulation des supports magnétiques ;
 S’assurer de la lisibilité des sauvegardes et des archives ;
 Formaliser les inventaires de la bandothèque ;
 Interdire les développements sur les machines dédiées à l’exploitation et interdire
l’accès du personnel du développement aux machines dédiées à l’exploitation ;
 L’archivage des supports informatiques étant à la charge de la filière. Ce dernier
doit en assurer la sécurité totale et prévoir une externalisation partielle
garantissant la protection des supports imprtants.
 Système.
 Installer un logiciel de contrôle des accès logiques ;
 Recenser et contrôler l’accès aux éléments de contrôle et aux utilitaires à usage
restreint des systèmes ;
 Mettre en œuvre les outils de métrologie nécessaires au suivi de l’évolution de la
charge des ressources et définir des tableaux de bord.
 Développement des applications.
 S’assurer de la participation du propriétaire des applications à tous les stades du
développement et de la maintenance pour :
- Le contenu du cahier des charges (spécifications de contrôle et d’audibilité) ;
- Les tests et la recette des applications nouvelles ou modifiées.
 Faire suivre les mises à jour de la documentation en cohérence avec les actions de
maintenance.

 Micro-informatique.
Intégrer de manière plus formelle la sécurité du poste de travail micro dans la
formation initiale dispensée aux utilisateurs concernés, en particulier pour les points
essentiels suivants :
 La sauvegarde des informations ;
 Les règles d’utilisation des logiciels sous licence (Copyright) ;
 Les risques liés aux virus en cas d’utilisation de logiciels ou de supports
magnétiques acquis hors de la procédure en vigueur ;
 Les risques liés à l’utilisation de l’Internet ;
 Rendre obligatoire techniquement la mise à jour des définitions des virus ainsi que
celle de l’anti-virus installé chez les utilisateurs.
 Réseau.
 Généraliser la mise en œuvre des outils nécessaires à la gestion du réseau en
général et des équipements critiques en particulier ;
 Assurer une formation adéquate des utilisateurs des services déconcentrés ;
 Installer une protection efficace du réseau de la Trésorerie Générale (exemple :
redondance des équipements clés et des lignes, cryptage, détection active
d’intrusion, authentification centralisée, accounting opérationnel…) ;
 Mettre en place une solution de détection de l’appelant pour les accès dial-up au
niveau des routeurs ;
 Prévoir une segmentation logique du futur réseau local du siège, afin de garantir
un bon niveau de sécurité et un meilleur respect des spécificités des différents
services ;
 Veiller à rendre unique les points d’accès de l’extérieur vers le réseau de la TGR et
à y renforcer la surveillance (points d’accès EDI (TGR et PPR), Portail, accès
Internet, liaisons vers les partenaires…).

7. PLAN D’ACTION.
Compte tenu du fait que les principaux acteurs de la sécurité ne sont pas encore
identifiés, le plan d’action ci-dessous n’est qu’une ébauche du plan d’action détaillé qui
devra être élaboré dans les meilleurs délais.
 A très court terme :
Activités Responsabilités Participation

Nommer un responsable de la sécurité du DG
système d’information de la Trésorerie Générale.
Sensibiliser l’ensemble du management de la DRSEC
Trésorerie Générale à la sécurité.
 A court terme :

Formaliser la mission (rôle et responsabilités) des DRSEC
propriétaires.
Identifier les propriétaires de toutes les DRSEC DI
applications.
Définir les critères de classification des DRSEC
informations.
Former les propriétaires d’applications à leurs DRSEC
missions.
Formaliser les procédures opérationnelles DRSEC DI
d’intégration et de contrôle des spécifications de
sécurité dans les applications des projets schéma
directeur.
Lancer l’étude de la vitalité des applications de la DRSEC PA, DI
Trésorerie Générale.
Définir un plan glissant sur 2 ans pour la mise DRSEC DI
en œuvre des recommandations.
 A moyen et long terme :

Mettre en œuvre le plan et contrôler son DRSEC Ens.
application.
Faire évoluer le plan en fonction des besoins de DRSEC Ens.
la TGR.
Abréviations :
DG La Direction Générale.
DRSEC La Direction qui sera officiellement chargée de la Sécurité.
DI Divisions informatiques.
PA Propriétaires d’applications.
Ens. L’ensemble du personnel de la Trésorerie Générale selon les activités.

Annexes

8. ANNEXES
8.1. LISTE DES PERSONNES INTERVIEWEES.

En plus des investigations décrites dans la démarche de l’étude précisée dans le rapport
de cette phase intitulé « Étude de l’existant et diagnostic du système d’information
actuel », plusieurs autres personnes ont bien voulu répondre à nos questions et nous
permettre de compléter l’analyse et d’avoir des éléments précis concernant la sécurité
du système d’information de la TGR.
Ces personnes sont :
 Mme Amal TAHRI Division des Ressources Humaines.
 M. Jamal CHAARANI Division des Equipements et de la Logistique.
 M. Mohamed El Amine SEGHROUCHNI
Division Organisation et Simplification des Procédures
 M. Mustapha EL HARCHI Division de l’administration des systèmes et réseaux.
 Le personnel de la Division de l’administration des systèmes et réseaux.

8.2. LEXIQUE DES TERMINOLOGIES

TECHNIQUES INFORMATIQUES.
Terme Définition
Ce vocable est préférable à celui - trop restrictif - de ‘sécurité
informatique’. En effet, le flux des informations s’étendant en amont et
en aval de l’informatique, il échappe en partie au contrôle de cette
Sécurité du dernière et sa sécurisation nécessite la participation d’autres acteurs
système dans la Trésorerie Générale. D’autre part, ce n’est pas l’informatique en
d’information de tant que telle qu’il convient de protéger, mais l’informatique en tant
la TGR qu’outil supportant les activités de la Trésorerie Générale. Les activités
liées sont exclusivement fondées sur les réalités économiques de la TGR.
Remarque : Ce rapport ne traite cependant que la partie informatisée du
flux d’informations.
Du point de vue informatique, on considère que les informations sont
constituées des données proprement dites et des programmes qui les
Information
traitent, car les moyens organisationnels, procéduraux et techniques de
leur protection sont de même nature.
La sécurité a un coût. Les informations utilisées dans la Trésorerie
Générale n’ont pas toutes une valeur qui justifie des mesures de
Classification protection particulières. Pour optimiser le coût de la sécurité, il est
nécessaire de classifier les informations. Cette classification s’effectue
sur les critères de vitalité, de sensibilité et de confidentialité.
Une application est dite vitale lorsque son indisponibilité pourrait
entraîner pour la Trésorerie Générale une perte financière importante ou
Vitalité une atteinte grave à l’exercice de ses fonctions. Le degré de vitalité est
déterminé par l’impact des pertes occasionnées. La vitalité justifie le Plan
de Continuité des Opérations, plus trivialement appelé ‘backup’.
Une application est dite sensible lorsque sa modification accidentelle ou
frauduleuse pourrait entraîner une perte financière ou de biens
importants pour la Trésorerie Générale. Les mesures de protection sont
Sensibilité
d’ordre organisationnel (séparation des tâches de développement et
d’exploitation), technique (logiciel de contrôle d’accès…) et procédural
(délivrance et retrait des autorisations d’accès aux utilisateurs).
Une information est dite confidentielle lorsque sa divulgation à des tiers
non-autorisés pourrait entraîner des préjudices financiers importants
pour la Trésorerie Générale ou des préjudices à des personnes physiques
Confidentialité
ou morales. Les mesures de protection sont d’ordre technique (logiciel de
contrôle d’accès) et procédural (délivrance et retrait des autorisations
d’accès aux utilisateurs).
Ce plan est destiné à assurer la continuité de la partie vitale du système
d’information en cas de panne ou de sinistre.
Plan de Les solutions techniques à mettre en œuvre dépendent essentiellement
Continuité des du temps de redémarrage et de la responsabilité des Divisions
Opérations Utilisatrices. Les solutions sont définies en fonction de l’enjeu
économique. L’élaboration de la solution technique est de la compétence
de la Filière Informatique.

Terme Définition
La classification des informations et les autorisations d’accès à ces
informations sont déterminées sur des critères dépendant exclusivement
des activités de la Trésorerie Générale. La classification et les
autorisations n’entrent ni dans la mission, ni dans les compétences de la
filière informatique. Seules les divisions utilisateurs concernées sont en
Propriétaires
mesure de les effectuer. Elles seront dites ‘propriétaires’ de ces
applications (données et programmes). Sans l’identification des
propriétaires et l’acceptation par ces derniers de leurs responsabilités, il
n’est pas possible de mettre en œuvre un dispositif assurant la sécurité
du système d’information.
Prestataire de Telle est la mission des divisions informatiques vis-à-vis des divisions
services utilisatrices et la limite de leurs compétences.
informatiques
Ce sont toutes les personnes qui utilisent les services informatiques soit
de manière interactive, soit comme destinataire d’états imprimés,
Utilisateurs
localement ou en central. Leur rôle dans le dispositif de sécurité,
consiste généralement à se conformer aux règles de gestion établies.
Autrement (mal) dit : règlement sécurité informatique. Elles doivent être
considérées et élaborées comme une extension aux règles de gestion
Règles de gestion
appliquées aux activités de la Trésorerie Générale et destinées à assurer
de la sécurité
la qualité et la pérennité de ces dernières. Elles constituent également la
référence du dispositif de contrôle.
Elles sont aux règles de gestion ce que sont à la loi des décrets
d’application. Elles traduisent en protocoles opérationnels les principes
Procédures
édictés dans les règles. Elles doivent prendre en compte l’environnement
et s’adapter à son évolution.

Audit+Scurit+SI - Copie

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Audit+Scurit+SI - Copie

Transféré par

Droits d'auteur :

Formats disponibles

ROYAUME DU MAROC

TRÉSORERIE GÉNÉRALE DU ROYAUME.

Schéma Directeur Informatique et

Étude de l’existant et diagnostic du

Nous tenons à remercier tous nos interlocuteurs pour l'accueil qu'ils

Nous voulons également remercier tout particulièrement Monsieur Le

Référence document : Audit sécurité SI.doc Date : 18/04/2008 Page : 2

Référence document : Audit sécurité SI.doc Date : 18/04/2008 Page : 3

2. OBJECTIFS ET CHAMPS DE L’ETUDE.

Référence document : Audit sécurité SI.doc Date : 18/04/2008 Page : 4

Référence document : Audit sécurité SI.doc Date : 18/04/2008 Page : 5

La maintenance 1,5 Les contrôles d'accès

Le transfert classique des données La sécurité incendie

L'archivage / désarchivage La sécurité dégâts des eaux

La protection des données La fiabilité de fonctionnement des matériels informatiques

La sécurité des télécommunications Les systèmes et procédures de secours

La sécurité offerte par le matériel et le logiciel de base Cohérence des systèmes

Référence document : Audit sécurité SI.doc Date : 18/04/2008 Page : 6

Référence document : Audit sécurité SI.doc Date : 18/04/2008 Page : 7

4.1. POINTS FORTS.

4.2. POINTS FAIBLES.

Référence document : Audit sécurité SI.doc Date : 18/04/2008 Page : 8

 En cas de sinistre majeur affectant durablement la disponibilité du système

5.1. RAPPEL DES OBJECTIFS GENERAUX.

Référence document : Audit sécurité SI.doc Date : 18/04/2008 Page : 9

5.2. SITUATION DE LA TRESORERIE GENERALE.

Référence document : Audit sécurité SI.doc Date : 18/04/2008 Page : 10

6.2. A LA DIVISION DU PERSONNEL.

Référence document : Audit sécurité SI.doc Date : 18/04/2008 Page : 11

6.3. A LA FONCTION CHARGEE DE LA SECURITE.

6.4. AU COMITE DE PILOTAGE DES PROJETS EN

Référence document : Audit sécurité SI.doc Date : 18/04/2008 Page : 12

6.5. A LA DIVISION DES MOYENS GENERAUX.

Référence document : Audit sécurité SI.doc Date : 18/04/2008 Page : 13

6.6. A LA FILIERE INFORMATIQUE.

Référence document : Audit sécurité SI.doc Date : 18/04/2008 Page : 14

Référence document : Audit sécurité SI.doc Date : 18/04/2008 Page : 15

Activités Responsabilités Participation

Activités Responsabilités Participation

Activités Responsabilités Participation

Référence document : Audit sécurité SI.doc Date : 18/04/2008 Page : 16

Référence document : Audit sécurité SI.doc Date : 18/04/2008 Page : 17

8.1. LISTE DES PERSONNES INTERVIEWEES.

Référence document : Audit sécurité SI.doc Date : 18/04/2008 Page : 18

8.2. LEXIQUE DES TERMINOLOGIES

Référence document : Audit sécurité SI.doc Date : 18/04/2008 Page : 19

Référence document : Audit sécurité SI.doc Date : 18/04/2008 Page : 20

Vous aimerez peut-être aussi