Académique Documents
Professionnel Documents
Culture Documents
N° 00/GUOT/DG/DCEJ/01
Gestion du Document
Date Version Auteur Description de la Date Date d’entrée
modification d’approbation en vigueur
27/03/2023 1.0 SASIEI Première version
1.Préambule
1.3. Contexte
1.4. Enjeux
1.5. Risques
1.6. Objectifs
1.9. Responsabilités
27001
27002
3.1. COSI
3.2. SASI
3.3. SAC
3.4. SRFAI
3.5. Administrateurs systèmes et réseaux
3.6. Technicien Support
3.7. Revue indépendante de la sécurité de l’information
4. Système de gestion de la sécurité de l’information (SMSI)
4.1. Phase d’établissement (PLAN)
4.1.1. Périmètre
4.1.2. Inventaire des Actifs
4.1.3. Analyse de vulnérabilité
4.1.4. Analyse de risques
4.1.5. Plan de gestion et choix du mode de traitement du risque et identification du risque
résiduel
4.1.6. Sélection des mesures de sécurité
4.2. Phase d’implémentation (DO)
4.2.1. Plan d’actions : traitement du risque
4.2.2. Déploiement des mesures de sécurité
4.2.3. Vérification de la sécurité
4.2.4. Gestion des incidents de sécurité avérés
4.2.4.1. Détection et signalement
4.2.4.2. Enregistrement
4.2.4.3. Evaluation
4.2.4.4. Analyse
4.2.4.5. Traitement
4.2.4.6. Communication
4.2.4.7. Vérification
4.3. Phase de vérification (CHECK)
4.4. Phase d’amélioration (ACT)
5. Standards de sécurité
5.1. Gestion des identités et des accès
5.1.1. Gestion des identités et authentification
5.1.1.1. Directives à l’attention des administrateurs
5.1.1.2. Norme à exiger et à respecter lors de la création d’un compte
6.1. Vérifications
7. Annexes
1.Préambule
accorder;
• Disponibilité : signifie qu’un système est prêt à rendre les services qu’il est censé rendre
• Donnée : élément de base constitutif d’une information. Une donnée peut être de nature
• Équipement : consiste, entre autres, des serveurs, des postes de travail, des accessoires
tels numériseurs et imprimantes, des unités de stockage, des composants réseaux, des
• Intégrité : signifie que les données présentées à l’utilisateur sont complètes et exactes
1.3. Contexte
prospérer à travers la digitalisation, la big data, l’intelligence artificielle etc. Elle change
de façon durable. Ceci justifie l’intérêt pour le Congo d’en faire une priorité, pour
accélérer le développement.
Cette dynamique sur le numérique au Congo s’explique par le défi de digitaliser le tissu
dans le pays. Pour soutenir cette ambition, le Congo par l’entremise du guot, autorité de
certification racine a décidé de mettre en place une infrastructure IGC OU PKI qui
florissante.
1.4. Enjeux
et mérite des réflexions profondes au regard des implications désastreuses qui affectent
toute une chaîne d'acteurs depuis l'Etat, les entreprises, jusqu'au particulier. Au Congo et
depuis plusieurs années déjà, la cybercriminalité se propage par les multiples formes
qu'elle revêt mais aussi parce qu'elle porte atteinte à la société dans son ensemble. Le
projet PKI vise à accroître au Congo la sécurité et la résilience des infrastructures, des
mesures techniques. Il a également pour objectif de donner à chacun l’accès aux avantages
1.5. Risques
sur les risques. C’est à la fois une exigence et un acte managérial. Il est vrai qu’au premier
abord, l’entreprise numérique semble éviter des risques auxquels fait face l’entreprise
Cette politique vise à recenser tous les types de risques liés au caractère numérique d’une
entreprise, ainsi que ceux qui sont susceptibles d’émerger lors de son passage vers le
numérique. Ils ne sont pas circonscrits au seul périmètre des systèmes d’information et
Tous ces risques peuvent être mesurés en fonction d’un degré d’occurrence et
d’un degré de gravité dont la combinaison détermine le facteur de risque pour
l’entreprise. A partir de ces éléments, l’établissement d’une cartographie des
risques permet de mettre en lumière plusieurs points :
Les principales sources de danger sont plus liées au manque de culture numérique
des dirigeants comme des salariés de l’entreprise. Un défaut de stratégie
numérique, une mauvaise gestion des ressources humaines lors du « passage » au
numérique ou des problèmes liés à la dématérialisation des rapports humains sont
autant de risques majeurs qui peuvent entrainer d’importants dommages pour
l’entreprise.
1.6. Objectifs
1.9. Responsabilités
3.1. COSI
Le Comité de Sécurité de l’Information (COSI) définit, contrôle la mise en
œuvre de la politique de sécurité, améliore et encourage de façon continue les
politique et stratégie de sécurité, qu’il porte devant le Conseil d’Administration
le cas échéant. Il fixe en outre les standards de contrôle et de sécurité de
l’information, basés sur les recommandations du SASI et du SAC.
La révision et approbation de la Politique de Sécurité de l’Information, la gestion
des changements et modifications en tenant compte de l'exposition des actifs
aux nouvelles menaces et le Reporting à la Direction Générale.
3.2. SASI
Le Responsable Audit et Sécurité des Systèmes d’Information a été nommé afin
de coordonner la mise en œuvre de toutes les taches de la sécurité informatique
au niveau du guot. Les responsabilités du SASI incluent:
Implémenter et coordonner la mise en œuvre de la Politique de Sécurité
de l’information.
Mettre en place et suivre le programme de Sensibilisation à la Sécurité de
l'Information.
Mettre en place une stratégie et approche pour détecter les risques en
collaborant avec Le SAC.
3.3. SAC
Il est chargé, notamment, de :
Veiller à la détection des cyber menaces ;
Prévenir les vulnérabilités des infrastructures logicielles et matérielle ;
Bâtir une stratégie de cyber défense face aux éventuels cyber attaques ;
Réaliser une veille technologique, règlementaire et prospective.
Il collabore étroitement avec le SASI qui est systématiquement consulté.
3.4. SSRFAI
Il a pour mission :
la sécurisation des échanges de données électroniques ;
La gestion des réseaux informatiques internes et externes ; conformément au
processus de gestion adopté par l’entreprise.
Il matérialise les directives et recommandations liées à la sécurité du SASI.
3.5. Administrateurs systèmes et réseaux
Les administrateurs systèmes et réseaux sont autorisés à agir rapidement pour
protéger la sécurité de leurs systèmes et réseaux. Les actions de protection
Les risques résiduels c’est-à-dire ceux qui persistent après la mise en place des
mesures de sécurité doivent eux aussi être pris en compte. Des mesures
complémentaires de protection doivent être appliquées pour les rendre acceptables.
4.2.4.5. Traitement
Des mesures de réponse immédiates, visant à éviter l’aggravation des conséquences,
peuvent être prises dès l’évaluation du niveau de risque. Le cas échéant, un plan de
continuité de l’activité sera activé.
La résolution de l’incident s’effectue selon le modèle du « 4 T Process » .
Les mesures appliquées doivent être documentées
4.2.4.6. Communication
L’analyse de risque sert d’appui à la définition d’un plan de communication. Selon la
situation, la communication peut poursuivre divers objectifs :
Gestion de l’incident : communication avec d’autres équipes en interne ou avec
des équipes externes ;
Veiller à une bonne séparation entre les tâches à exécuter et les droits
octroyés pour exécuter certaines opérations est absolument nécessaire
afin:
o d'assurer un bon fonctionnement des systèmes,
o d'éviter des destructions accidentelles de données,
o d'éviter une perte de la confidentialité.
Fixer toujours les droits d'accès des utilisateurs au système en fonction de leurs
tâches et de leurs responsabilités. Ainsi, les développeurs recevront des droits
d'accès à leur environnement de travail, les
personnes chargées des tests auront leur environnements de test, les
utilisateurs finaux auront des droits limités à une ou plusieurs
application(s), etc.
NB : Il est de plus très fortement recommandé d’utiliser une nomenclature claire pour les
noms de comptes (faire systématiquement précéder les noms de comptes de service par le
a. Minimum de 8 caractères
b. Doit être changé tous les 90 jours (Expiration du mot de passe au bout de
3 mois).
NB : Le (ou les) fichier contenant les mots de passe doit être crypté et protégé des accès
d’intrus.
mal intentionnée) car des tentatives d’accès peuvent être réalisées, par comparaison à
sécurité.