Audit de Securite Des S I Politique Du D

REPUBLIQUE DU CAMEROUN REPUBLIC OF CAMEROON
------------------------------ ------------------------------
PAIX – TRAVAIL - PATRIE PEACE – WORK - FATHERLAND
---------------------------- ------------------------------
Audit de sécurité des S.I

De CAMTEL
THEME : Politique du Droit d’Accès
Rédigé Par :
NKOUMOU ZE Joseph Christian
(Ingénieur des Travaux Informatique: Réseaux Télécom)
Pour l’obtention du MASTER 2 en Science pour l’Ingénieur. Option : Informatique ;

Parcours : Réseaux et Télécommunication.
ENCADREURS
Académique Professionnel
Dr. BELL BITJOKA Georges ING. Armel MEBANDE

PHD. Sécurité : Cryptologue Concepteur Informatique : Sécurité
DG. ITS et Enseignant à ENSP S. Directeur ISIS : CAMTEL+PRC
Année académique 2012 - 2013

Dédicaces
Je dédis le présent travail à l’Esprit Saint qui m’assiste dans toutes mes entreprises ;
en effet il inspire, contribue et c’est lui enfin qui autorise tout aboutissement.
Car il est dit que « le consolateur, l'Esprit-Saint, que le Père enverra au nom de Jésus,
nous enseignera toutes choses, et nous rappellera tout ce que il nous a dit. »
Bref, c’est ma police d’assurance vie, Amen.

Remerciements
D'abord je tiens à exprimer mes plus vifs remerciements à mes encadreurs,

académique et professionnel, Dr. BELL BITJOKA Georges et l’Ingénieur M. Armel
MEBANDE respectivement ; pour leur disponibilité, les nombreux conseils, orientations et
encouragements qu'ils ont su me prodiguer durant mon stage à CAMTEL. J'ai découvert
grâce à eux le monde de la sécurité des systèmes d’information.
Je voudrais également exprimer mes sincères remerciements à ma famille,

particulièrement à ma fiancée (Mlle AKOA Anita Sylvette Arnaud), mes enfants et mon
papa (M. Bernard MEDJO MENDO’O) pour les multiples encouragements et la patience
dont ils ont fait montre tout au long de ma formation.
Merci à tous ceux qui ont contribué de près ou de loin, à la réalisation de ce travail.
Glossaire
S.I: Système d'Information

ITS: Entreprise spécialisée dans la sécurité informatique et la cryptologie
ENSP: Ecole Normale Supérieure Polytechnique
PHD : Philosophiæ doctor
ING: Ingénieur
ISIS: Infrastructures, Systèmes d'Informations et Sécurité
CAMTEL: Cameroon Telecommunications
PRC: Présidence de la République du Cameroun
OrBAC: Organization-Based Access Control
CST: Correspondant Sécurité Technique
CMS: Correspondant Sécurité Métier
PSSI: Politique de Sécurité des Systèmes d'Information
EBIOS: Expression des Besoins et Identification des Objectifs de Sécurité
PME: Petite et Moyenne Entreprise
PMI: Petite et Moyenne Industrie
Méhari: Méthode Harmonisée d’Analyse de Risques
Marion: Méthodologie d'Analyse de Risques Informatiques Orientée par Niveaux
Melisa: Méthode d'évaluation de la vulnérabilité résiduelle des S.I
CRAMM: CCTA Risk Analysis and Management Method).
RFC: Requests For Comments
OCTAVE: Operationally Critical Threat, Asset, and Vulnerability Evaluation
ISO: International Organization for Standardization
DSIR: Direction des Systèmes d’Information et des Réseaux
DI: Direction des Infrastructures
DAL: Direction des Approvisionnements et de la Logistique
FAI: Fournisseur d'Accès Internet
LNG: Logiciel New Generation
DIMA: délai d'interruption maximum acceptable
PDMA: pertes de données maximum acceptables
D.I.C.T: Disponibilité, Intégrité, Confidentialité et Traçabilité
IP: Internet Protocol
PABX: Private Automatic Branch eXchange
RSS: Responsable du Service de Sécurité
CT: Conseillé Technique
CPM: Comité de pilotage et du management de la sécurité
SIM: Subscriber Identity Module
Résume Abstract
En raison de ses vulnérabilités
physiques et logiques, l’infrastructure de Because of its physical and logical
CAMTEL peut subir des défaillances, et vulnerabilities, CAMTEL infrastructure
en raison des interdépendances entre ses may suffer failures, and because of the
différents maillons d’activités, de simples interdependencies between activities
défaillances peuvent avoir des branches, simple failures can have
conséquences dramatiques sur son dramatic consequences on the entire
ensemble. infrastructure.
Dans notre travail, nous nous
concentrons principalement sur les In our work, we mainly focus on
systèmes d’information et principalement : information systems (Information and
la Direction du Système d’Information et Network System, Infrastructure System,
Réseaux (DSIR), la Direction des then Provisioning and Logistical System).
Infrastructures (DI), puis la Direction des
Approvisionnements et de la Logistique We then proposed an approach to
(DAL). address security problems faced by
Nous proposons alors une CAMTEL, particularly those related to
approche pour répondre aux problèmes access control and collaboration. The goal
de sécurité que rencontre CAMTEL, plus of this study is to provide each service
particulièrement, ceux liés au contrôle belonging to the whole system the
d'accès. Le but étant d’offrir à chaque opportunity to collaborate with others
direction la possibilité de collaborer avec while maintaining control over its data and
les autres, tout en maintenant un contrôle its internal security policy.
sur ses données et sa politique de sécurité
internes.
Nous avons par conséquent We modeled on OrBAC, a security
modélisé sur OrBAC, une politique de policy, based on the access control.
contrôle d’accès.
MOTS CLES : Infrastructures Critiques, KEYWORDS: Critical Infrastructure,

Système d’information, Sécurité, Contrôle Information System, OrBAC, Resilience,
d’Accès, OrBAC, Réseau, Security, Access Control,
Télécommunication. Telecommunication.
Sommaire
Dédicaces ...................................................................................................................................................... II
Remerciements ............................................................................................................................................. III
Glossaire....................................................................................................................................................... IV
Résume .......................................................................................................................................................... V
Abstract ......................................................................................................................................................... V
Sommaire ..................................................................................................................................................... II
Introduction Générale .................................................................................................................................. IV
ETUDE DU SYSTEME D’INFORMATION DE LA CAMTEL AVEC LA DEMARCHE EBIOS .. 7

MODULE 1 : ETUDE DU CONTEXTE ................................................................................................ 1
1. Le Cadre de la gestion des risques ...................................................................................................... 1
2. Planification des Activités d'EBIOS ................................................................................................... 1
3. L’organisme étudié : LA CAMTEL .................................................................................................... 2
4. Présentation du système cible ............................................................................................................ 2
5. Le contexte législatif et réglementaire : ............................................................................................... 2
6. Le périmètre de l’étude ...................................................................................................................... 2
7. Les contraintes, hypothèses et impacts ............................................................................................... 3
8. Liste des éléments essentiels .............................................................................................................. 4
9. Liste des entités ................................................................................................................................. 4
10. Matrice de croisement des éléments essentiels et des entités ........................................................... 4
MODULE 2 : LES BESOINS DE SECURITE ....................................................................................... 4
1. Les critères de sécurité ....................................................................................................................... 5
2. Synthèse des besoins de sécurité ........................................................................................................ 5
3. Synthèse des vulnérabilités liées aux éléments essentiels ..................................................................... 7
MODULE 3 : LES MENACES ET RISQUES DE SECURITE ............................................................ 7
1. Les menaces ...................................................................................................................................... 7
2. Les risques et objectifs de sécurité...................................................................................................... 7
3. Les objectifs de sécurité ..................................................................................................................... 8
MODULE 4 : LES MESURES DE SECURITE ...................................................................................... 8
1. Formalisation des mesures de sécurité................................................................................................ 9
2. Couverture des objectifs par les mesures de sécurité .......................................................................... 9
3. Couverture des risques par les mesures de sécurité ........................................................................... 10
4. Analyse des risques résiduels ............................................................................................................ 10
5. Déclaration d’applicabilité ................................................................................................................ 12
ELABORATION DU PLAN D’ACTION.............................................................................................. 12
1. Homologation de sécurité prononcée par le Directeur Général pour un an ...................................... 13
2. Politique de sécurité ......................................................................................................................... 14
MODULE 5 : LA PSSI (DROIT D’ACCES) À CAMTEL ..................................................................... 15
1. Définition ........................................................................................................................................ 15
2. Autorisation et Contrôle d’Accès : modélisation............................................................................... 15
Conclusion générale.................................................................................................................................. 17
ANNEXES
Annexe 1 : Les contraintes, hypothèses et impacts ................................................................................... 18
Annexe 2 : Liste des éléments essentiels ................................................................................................... 21
Annexe 3 : Liste des entités ...................................................................................................................... 23
Annexe 4 : Croisement des éléments essentiels et des entités ................................................................... 25
Annexe 5 : Besoins de sécurité des éléments essentiels ............................................................................. 26
Annexe 6 : Synthèse des besoins de sécurité............................................................................................. 39
Annexe 7 : Synthèse des vulnérabilités de sécurité .................................................................................... 41
Annexe 8 : Formalisation des menaces pesant sur le système-cible ........................................................... 53
Annexe 9 : Formalisation et priorisation des risques de sécurité ............................................................... 54
Annexe 10 : Formalisation des objectifs de sécurité ................................................................................. 55
Annexe 11 : Couverture des risques par les objectifs de sécurité ............................................................... 56
Annexe 12 : Formalisation des mesures de sécurité .................................................................................. 56
Annexe 13 : Couverture des objectifs par les mesures de sécurité ............................................................. 62
Annexe 14 : Couverture des risques par les mesures de sécurité (échantillon) ........................................... 62
Table des matières ..................................................................................................................................... 63
Bibliographie ............................................................................................................................................. 67
Annexe 15 : D’après le modèle OrBAC ................................................................................................... 69

Politique de Sécurité du Droit d’Accès à CAMTEL ..................................................................................... 69
CHAPITRE I : ENTITES ET ROLES CONSTITUANT LE SI ............................................................ 69
CHAPITRE II : REGLES ET PROCEDURES EN MATIERE DE SECURITE DU SYSTEME
D’INFORMATION................................................................................................................................ 70
CHAPITRE III : PROGRAMME DE SECURITE D’ACCES ............................................................... 74
CHAPITRE IV : OBLIGATIONS GENERALES ................................................................................. 74
CHAPITRE V DISPOSITIONS EN CAS DE MISSION A L’EXTERIEUR. ...................................... 75
Pendant la mission ............................................................................................................................... 76
CHAPITRE VI : DISPOSITIONS FINALES ........................................................................................ 76
Introduction Générale
Le socle de la sécurité des systèmes d'information est la PSSI.

La politique de sécurité des systèmes d'informations(PSSI) constitue le principal
document de référence en matière de sécurité des systèmes d'information (SSI). Elle en est
un élément fondateur au même titre qu'un schéma directeur, qui lui, définit les objectifs à
atteindre et les moyens accordés pour y parvenir.
Les orientations stratégiques
Une PSSI reflète la vision stratégique de la direction de l'organisme (PME, PMI,
industrie, administration.) en matière de SSI. Elle traduit la reconnaissance officielle de
l'importance accordée par la direction à la SSI. Elle informe la maîtrise d'ouvrage et la
maîtrise d'œuvre des enjeux, des choix en terme de gestion des risques et suscite la confiance
des utilisateurs et partenaires ce qui nous amène à présenter :
Les enjeux de la politique de sécurité.
Le haut potentiel de communications de la CAMTEL confère un caractère
stratégique à la protection de son patrimoine de télécommunication, informatique et
Infrastructurel. Les atteintes peuvent tout aussi bien toucher ses données financières ou
techniques que ses outils ou moyens technologiques et humains. La SSI s'impose comme
une composante essentielle de la protection du patrimoine de la CAMTEL dans ses intérêts
propres et dans ceux liés à des enjeux nationaux (intérêts fondamentaux de la nation).
Bien que cela soit difficile à évaluer, l'insécurité a un coût qui se manifeste lors
d'incidents ou de dysfonctionnements. Face aux risques encourus, et dans le contexte
fonctionnel et organisationnel propre à l'organisme, il convient d'identifier ce qui doit être
protégé, de quantifier l'enjeu correspondant, de formuler des objectifs de sécurité et
d'identifier, arbitrer et mettre en ouvre les parades adaptées au juste niveau de sécurité
retenu. D’où la mise en place au sein de la CAMTEL d'une « Politique de Sécurité des Systèmes
d'Information » (PSSI) appropriée.
La PSSI
Elle s'inscrit nécessairement sur le long terme. Elle est conforme aux dispositions
législatives et réglementaires et est cohérente avec les politiques et directives de niveau
supérieur (ministérielles et interministérielles) ; elle se doit également d'être cohérente avec
les politiques de sécurité des organismes partenaires. Elle est une explicitation des
dispositions de mise en ouvre, au travers d'un Schéma Directeur de la Sécurité des Système
d'Information et/ou d'un plan d'action de Sécurité des Système d'Information au niveau des
unités et des services , par la définition d'une Politique de Sécurité de Système d'Information
d'unité tenant compte des particularités propres à chaque unité ou chaque service et, pour ce
qui est des unités mixtes, intégrant les orientations des autres tutelles.
Schéma de déclinaison de la PSSI de CAMTEL
Etat des Lieux
Politique SSI
Politique et
Schémas Dispositions de mise en œuvre
Directeurs Schéma directeur, Projets
Des partenaires
CAPSEC
Evaluation
PSSI d’unités Retour d’expérience
Plans locaux de mise en œuvre
Evaluation – retour d’expérience
(CAPSEC (Comment Adapter une Politique de Sécurité pour les Entités de CAMTEL) : méthodologie d’analyse de risques permettant à
chaque direction de conduire une analyse de ses risques et de formuler des recommandations adaptées au contexte de la direction).
Les méthodologies de sécurité

Les méthodes d’analyse des risques : Méhari, Marion, Melisa, I CAS, CRAMM,
BS7799, EBIOS, RFC 1244, etc sont généralement réalisées par des utilisateurs ayant des
compétences techniques de sécurité ou des groupes de travail, souvent applicables par des
prestataires de service sous forme d'audit de sécurité, basée sur des propositions d'actions
pour l’amélioration d’une situation d’entreprise donnée. Le tableau suivant liste les
principales normes utilisées:
MELISA est une méthode d'analyse de vulnérabilités qui gère la Confidentialité

des données sensibles, la Pérennité de fonctionnement du système, la Sécurité informatique
et la Sécurité réseau.
MARION est une méthode d’audit qui permet d’évaluer le niveau de risque au
travers d’un questionnaire pondéré, donnant des indications sous forme de notes renvoyant
à une vision global de l’entreprise audité.
MEHARI définit un plan de sécurité (mesures, règles, modes de présentation,

schémas de décision) pour pallier aux failles et atteindre le niveau de sécurité exigé.
EBIOS est une méthode d’analyse des risques en SSI, appliqué aux Systèmes à
concevoir ou existants. Elle détermine les actions de sécurités qu’il convient d’entreprendre.
En entrée, on a un récapitulatif des Besoins du système et en sortie, on retrouvera les
Objectifs de sécurité et l'élaboration de l'architecture fonctionnelle sécurisée.
Dans notre travail et suivant les recommandations du responsable de la sécurité à

CAMTEL (M. Armel MEBANDE), nous avons opté pour la méthode EBIOS pour l’audit
et la politique de sécurité d’Authentification et la définition des « Droit d’Accès ».
Ceci pour la simple raison qu’EBIOS permet, par déduction de la confrontation des
Risques au Besoins de sécurité et la prise en compte des contraintes (réglementations), de
définir des mesures non-techniques (Organisationnel) et techniques (Fonctions de sécurité).
6
ETUDE DU SYSTEME D’INFORMATION DE LA CAMTEL
AVEC LA DEMARCHE EBIOS
7
MODULE 1 : ETUDE DU CONTEXTE
1. Le Cadre de la gestion des risques

Cette étude a pour objectif de faire l’audit de sécurité du système d’information de la
CAMTEL et d’élaborer une politique de sécurité de l’information dans le domaine précis de
l’authentification, et plus précisément le contrôle d’accès.
Le Directeur général ayant eu recours à l’expertise de la sous direction des
infrastructures des systèmes d’information et de la sécurité (SDISIS) dans l’audit de la
sécurité de l’information voudrait mettre à présent un accent particulier sur la gestion des
risques et la sécurité de l’information dans son organisation afin d’éviter des désagréments
nuisant l’atteinte des objectifs de la CAMTEL.
Cette étude doit donc aboutir à une politique de sécurité du système d’information
qui sera destiné à tout le personnel de l’organisation, un cahier de charges à soumettre pour
un appel d’offres et une cartographie des risques pour le manager de la sécurité.
L’étude suivra une démarche EBIOS stricte constituée de plusieurs activités, des
niveaux d’interventions différents. Le tableau suivant présente le plan d’activité :
2. Planification des Activités d'EBIOS
Activités d'EBIOS
Document à
Infrastructure
estimé en h/j
Directeur SI
particulières
Ressources
Durée en J
Logistique
Consignes
Directeur
Directeur
Directeur
produire
générale
d’Audit
Comité
Activité 1.1 – Définir le cadre R R R R 2 2

de la gestion des risques
Activité 1.2 – Préparer les I C I I I Vérifier la 2 5

métriques cohérence avec
l’activité
Activité 1.3 – Identifier les A R C C C Note de Ne pas trop 6 30
biens cadrage détailler
Activité 2.1 – Apprécier les A R C C C Utiliser les bases 6 20

événements redoutés génériques
Activité 3.1 – Apprécier les A R C C C Utiliser les bases 6 40

scénarios de menaces génériques
Activité 4.1 – Apprécier les A R C C C Cartographie 1 20

risques des risques
Activité 4.2 – Identifier les A R C C C Note de 2 15

objectifs de sécurité stratégie
1
Activité 5.1 – Formaliser les C R C C C Politique de 8 10
mesures de sécurité à mettre sécurité de
en œuvre l'information
Activité 5.2 – Mettre en A R I I I Homologation Cette activité ne 0 0

œuvre les mesures de sécurité sera réalisée de suite
Légende : A : Approbation ; R : Réalisation ; C : Consultation ; I : Information

(Editable avec GANTT PROJECT)
3. L’organisme étudié : LA CAMTEL

La société CAMTEL se trouve dans un environnement très concurrentiel et ses
prestations de services sont limitées sur le territoire national. Elle a également de nombreux
partenaires externes pour mener à bien ses activités.
Par ailleurs, le but de cette étape est d’obtenir une vision claire du périmètre
considéré en répondant aux questions suivantes :
sont les ressources concernées par le traitement des processus ?

4. Présentation du système cible
Du fait de ses missions et de son organisation, CAMTEL présente de nombreuses
spécificités par rapport à d’autres entités (ministères, établissements publics, entreprises).
CAMTEL est l’organisme qui gère le patrimoine de télécommunications au
Cameroun avec un personnel qui se chiffre à près de 3 000 professionnels directement
rémunéré.
La structure est très éclatée : CAMTEL dispose des agences dans toutes les régions
L’organisation administrative s’appuie sur 10 régions et 02 délégations urbaines.
La diversité des activités professionnelles rend difficile les recommandations
communes pour des populations relevant de contextes professionnels très différents.
Les directions elles-mêmes sont très hétérogènes : et il y a peu de similitude
entre les directions possédant des moyens financiers et humains importants, une
culture et un savoir-faire en systèmes et réseaux, sans parler de la sécurité.
CAMTEL présente aussi une certaine dimension internationale, avec plusieurs
centaines d’accords de partenariats internationales et l’accueil dans les services d’un nombre
considérable des étudiants et chercheurs, à titre permanent ou à titre de visites, temporaires
ou stages.
CAMTEL présente une sensibilité importante au regard de la protection du
patrimoine technologique, technique et informatique, liée aux enjeux du régime politique en
place, et d’exploitation des infrastructures de télécommunication historiquement établies.
En contrepartie CAMTEL dispose d’atouts propres liés à la qualité et la compétence
des personnels dans le domaine de l’informatique et des réseaux de télécommunication.
2
Audit de la sécurité des systèmes d’information de la CAMTEL
5. Le contexte législatif et réglementaire :

La mise en œuvre des systèmes d’informations est soumise à des obligations
relevant de nombreux textes d’ordre législatif et réglementaire qui confèrent un enjeu
juridique important à cette activité.
On peut citer en particulier, la loi sur la confiance en l’économie numérique
(LCEN), la loi relative à l’informatique et aux libertés (loi CNIL), la loi relative
à la fraude informatique (loi Godfrain), les instructions et recommandations
interministérielles. S’y ajoutent des dispositions relevant du code de la propriété
industrielle, et des dispositions pénales. La sécurité des systèmes d’information fait
par ailleurs l’objet d’une normalisation (norme ISO 27001). Le corpus correspondant,
ainsi que le suivi de la jurisprudence font l’objet de documents de diffusion interne.
6. Le périmètre de l’étude
La sécurité des systèmes d’information de CAMTEL doit
nécessairement couvrir l’ensemble des systèmes d’information de l’organisme avec
toute la diversité que cela implique dans les usages, les lieux d’utilisation, les méthodes
d’accès, les personnes concernées. C’est ainsi que l’existence d’implantations dans les
régions et l’importance des missions régaliennes lui confère également une dimension
nationale.
Le périmètre de la SSI est donc très large.
Ce périmètre englobe les sept directions, les délégations, et les représentations
régionales. Tout ce système d’information interconnecté par le biais d’un large réseau à
Fibre Optique:
Cependant la cible restreinte de notre étude est constituée de :
- la Direction des Systèmes d’Information et des Réseaux IP (DSIR),
- la Direction des Infrastructures (DI),
- la Direction des Approvisionnements et de la Logistique (DAL).
Toutefois une transposition de cette politique à toutes les autres directions sera
faite par les responsables de la DISR. Il inclut les unités mixtes dépendant de CAMTEL et
d’autres tutelles. L’infrastructure étant en de nombreux endroits partagée avec d’autres
organismes (FAI, partenaires, ministères, entreprise, universités, …), du personnel non
CAMTEL est amené à travailler sur les systèmes d’information de CAMTEL. Tous ces
paramètres sont également à prendre en compte, dans le périmètre de la SSI, les
équipements de l’entité ou ceux gérés par le service informatique d’une tutelle, sur lesquels
s’exécutent les fonctions essentielles comme la communication (serveur de messagerie,
machines internes cibles de connexion depuis l'extérieur), la gestion financière et
comptable (serveur LNG), la publication (serveur web, serveur d’impression), le
stockage, le traitement et l’interprétation des données (serveur de fichiers,
pilotage/contrôle de manipulations).
Par ailleurs, du fait de l’évolution des technologies, certains systèmes
(téléphonie, visioconférence, photocopieur, vidéosurveillance), traditionnellement en
dehors du champ de l’informatique, font désormais partie du périmètre.
La SSI de CAMTEL intègre également les prestations externes telles que
l’hébergement de serveurs client et la sous-traitance dans leur incidence sur la sécurité
interne des systèmes d’information.
2
Les usages liés à la mobilité (ordinateurs portables, connexions sans fil, assistants
personnels, téléphones portables…) sont également à prendre en compte du fait que
ces usages se pratiquent généralement en milieu non protégé. L’utilisation d’un moyen
informatique privé ou extérieur fait entrer l’équipement dans les ressources
informatiques de l’unité et comme tel dans le périmètre de la SSI.
Notre travail sera plus basé sur le contrôle d'accès. Ce contrôle s'effectuera à trois
niveaux à savoir :
-le contrôle d'accès physique
-le contrôle d'accès applicatif ou logique
-l'authentification des employés et utilisateurs
Tout au long de notre étude, nous allons concevoir une modélisation basée sur
l’étude EBIOS et qui fera ressortir les éléments essentiels et les liens entre les différentes entités.
Nous pourrons donc au final répertorier et évaluer les risques, identifier les éventuelles
menaces et attaques en vue de proposer des mesures adéquates et mettre en place une politique de
sécurité qui cadre avec les besoins de la CAMTEL et son plan d'action:
 Améliorer l’avantage concurrentiel de la CAMTEL par rapport aux autres acteurs
sur le marché des télécommunications;
 Garantir la disponibilité, l’intégrité et la confidentialité des données et autres
éléments indispensables au bon fonctionnement de la société ;
 Améliorer et sécuriser les échanges avec les parties prenantes.
7. Les contraintes, hypothèses et impacts

Les contraintes, hypothèses et impacts qui pèsent sur CAMTEL peuvent être
identifiées. Elles sont d'origine interne à l'entreprise, auquel cas celui-ci peut
éventuellement les aménager, ou extérieures à l'organisme, et donc en règle générale,
incontournables. Le tableau en annexe illustre les différentes contraintes recensées par
notre étude:
(Voir Tableau 1, 2,3 - Annexe 1)

Annexe1 :
Contraintes (tableau1)
N° de Type de contrainte
Contrainte Description de la contrainte en question.
Hypothèses (tableau2)
Type d’hypothèse
N°
d’hypothèse Description de l’hypothèse en question.
Impacts (tableau3)
Type d’impact
N° d’impact
Description de l’impact en question
3
8. Liste des éléments essentiels

Elle représente les missions essentielles de CAMTEL.
(Voir Tableau 1, 2 - Annexe 2)
N° de Fonction essentielle Type de fonction essentielle
Description de la fonction.
9. Liste des entités

Elle représente les éléments matériels, physique, logique réseau, les sites
(bâtiments), le personnel, les organisations inclusifs et les systèmes. Ce sont les
intervenants directs du Système d’ Information ; représenté dans les tableaux en annexe.
(Voir Tableau 1 à 7 - Annexe 3)
MAT : Matériel
N° Mat Type de matériel Description
LOG : Logiciel
N° Log Type de Log Description
RES : Réseau
N° Res Type de Res. Description
PER : Personnel
N° Per Type de per Description
PHY : Site
N° Phy Type de phy Description
ORG : Organisation
N° Org Type d’org Description
SYS : Système
N° de Sys Type de sys Description
10. Matrice de croisement des éléments essentiels et des entités

Ceci est le résumé de ce qui précède, c’est-à-dire la combinaison effective des
missions essentielles de la CAMTEL et des entités matériels, logiques, etc. que l’entreprise
engage dans l’atteinte de ses objectifs.
(Voir Annexe 4)
EE\Ent LOG01 MAT01 ORG01 PER01 PHY01 RES01 SYS01
F01 X X - - X - -
I01 - - X X X - X
MODULE 2 : LES BESOINS DE SECURITE

Il s’agit de protéger l’outil de travail (disponibilité), les données (confidentialité,
disponibilité, intégrité), le personnel des unités et l’entreprise CAMTEL elle même.
4
1. Les critères de sécurité

La sécurité du Système d’Information repose sur trois critères essentiels ; nous
avons ajouté un quatrième pour les besoins de précision dans notre étude et suivant les
exigences de la Sous-direction de la Sécurité Informatique :
a. Disponibilité
Propriété d'être disponible aux entités autorisées, lorsque demandé. L'échelle
de disponibilité peut être exprimée suivant le délai d'interruption maximum
acceptable (DIMA) ou suivant les pertes de données maximum acceptables
(PDMA). La continuité du service doit être assurée, les délais d'accès sont
connus. La perte d'information n'est pas tolérée.
b. Intégrité
Propriété d'être exact et complet. L'échelle d'intégrité est exprimée suivant des
besoins de détection d'altération des données ou de récupération des données
altérées. La fonction se comporte conformément à ses spécifications et
retourne des résultats complets et exacts. Aucune modification non autorisée
n'est acceptée.
c. Confidentialité
Propriété d'être accessible uniquement aux entités autorisées. L'échelle de
confidentialité est exprimée suivant les entités qui accèdent aux données. Les
algorithmes sensibles sont protégés contre toute observation de leurs
mécanismes ou de leur fonctionnement. Les informations confidentielles sont
protégées contre les accès non autorisés, elles ne sont pas dévoilées.
d. Traçabilité
Propriété de pouvoir fournir des enregistrements concernant l'historique de
l'élément associé. L'échelle de traçabilité est exprimée suivant les propriétés des
événements. Les enregistrements liés à l'utilisation d'une fonction peuvent être
fournis. Les informations peuvent être tracées et associées à une entité.
Ces critères peuvent être quantifiés selon une échelle des besoins de sécurité et en
fonction des éléments essentiels spécifiés plus hauts (Module 1, alinéa 7, 8 et 9)
(Voir Annexe 5)
Elément (fonction / information) essentiel D I C T
4 3 2 3
Critère de sécurité Description et niveau de sécurisation à adopter
2. Synthèse des besoins de sécurité

a. Protection de l’outil de travail
Les postes informatiques, les réseaux, les applications et les données, constituent «
le Système d’Information » de CAMTEL. Cet ensemble est indispensable à la fois pour
les activités nécessaires, au marketing, à la recherche et à l’exploitation de
l’infrastructure de télécommunication en place, mais aussi pour la gestion des entités
énumérées plus haut. La disponibilité et l’intégrité de cet outil doivent donc
impérativement être placées à l’abri des menaces internes ou externes.
5
b. Protection des données

Dans quelques cas il peut s’agir de « données classifiées de défense », mais le plus
souvent il s’agit de « données sensibles » telles que :
- Les données scientifiques
Liées à un savoir-faire interne, des projets à mettre en place ; liées à des
coopérations nationales ou internationales, transmission de connaissances,
techniques ou managériale ; liées à la veille technologique, liées à la
documentation de CAMTEL, son patrimoine intellectuel ; liées aux centres
techniques et agences commerciale.
- Les données de gestion
Authentification, gestion comptable et financière, gestion des ressources
humaines.
- Les données nominatives
Liées à la vie privée des personnes.
- Les données stratégiques
Informations d’ordre politique ou stratégique ou touchant des questions de
défense, informations sécurité…
La protection des données sensibles suppose l’identification préalable de ces

données, la détermination du type de protection nécessaire (confidentialité, disponibilité,
intégrité) et l’évaluation de leur degré de sensibilité (quantification des besoins de sécurité).
La sensibilité des données est appréciée lors d’un inventaire au cours duquel des
questions touchant à « la vie de la donnée » doivent être posées :
- Quel est son type ?
- Où réside-t-elle ?
- Par qui est-elle partagée (« besoin d’en connaître ») ?
- Quelle(s) menace(s) est-elle susceptible de subir ?
c. Protection juridique
La mise en œuvre des systèmes d’information s’inscrit dans un cadre législatif
et réglementaire destiné en particulier à protéger les droits de propriété intellectuelle
et technologique et ceux de la vie privée (fichiers nominatifs). Dans ce cadre, la
responsabilité administrative et pénale de la hiérarchie et des administrateurs
systèmes et réseaux peut être recherchée.
Ainsi, au cours de notre étude, nous avons fait une synthèse des besoins de
sécurité liées aux éléments essentiels.
(Voir Annexe 6)
Eléments essentiels Disponibilité Intégrité Confidentialité Traçabilité
Fonction essentielle 4 3 2 3
Information essentielle 4 2 2 3
6
3. Synthèse des vulnérabilités liées aux éléments essentiels
(Voir Annexe 7)
N° de Vul Type de vulnérabilité D I C T
X - - -
Liste des éléments essentiels Niveau
Vulnérabilité: Description
impliqués d’implication
MODULE 3 : LES MENACES ET RISQUES DE SECURITE
1. Les menaces
La mise à exécution des menaces volontaires ou involontaires, humaines ou
matérielles, internes ou externes peut porter atteinte au SI, aux personnels et à
l’organisme. Il convient de distinguer ce qui relève d’attaques délibérées
(agressions) et ce qui relève de sinistres naturels (incendie, explosion,
inondations…).
Dans le cadre de notre étude de risques, nous avons considéré les menaces comme
la méthode EBIOS le préconise, c’est-à-dire inventorier les menaces en considérant la
probabilité que la menace devienne réalité ; la menace est prise en compte en fonction
des critères suivants :
- Type d'élément menaçant : environnemental, humain, naturel, etc.
- Cause d'élément menaçant : délibérée ou accidentelle
- Potentiel d'attaque : opportunités ou ressources limitées, accidentel et aléatoire,
haut degré d'expertise d'opportunité et de ressources
Un référentiel des menaces est disponible dans EBIOS. Il a été repris et adapté
pour CAMTEL dans le cadre de nos des travaux.
(Voir Annexe 8)
D°
Menaces formalisées Référence
Men
Type Men (réf: Elément essentiel-Vulnérabilité correspondante)
N° Men 2 EE-Vul.
Description de la vulnérabilité correspondante :
2. Les risques et objectifs de sécurité

À partir des menaces retenues plus haut, il convient d’évaluer les risques pour chacune
d’entre elles (probabilité d’occurrence en fonction des objectifs de sécurité envisagés).
Les parades viseront donc à peser sur ces deux facteurs : réduire la probabilité
d’occurrence pour réalisation effective des objectifs de sécurité.
7
Inversement des éléments tels que la négligence, l’insuffisance de formation ou

d’information, les insuffisances de management de la sécurité, l’absence de consignes
claires… sont des facteurs aggravants du risque, en amplifiant la probabilité d’occurrence
de la menace ou la conséquence de l’incident survenu. En conséquence il est nécessaire de
procéder à une analyse de risques tels que l’illustre notre étude EBIOS.
(Voir Annexe 9)
Pertes Pertes Pertes Pertes Pertes
Risques de sécurité D° Men
Max. D I C T
Type de Ris (réf: N° Men)
N° Ris 4 4 4 4 4 4
3. Les objectifs de sécurité

Selon le model EBIOS, nous avons quatre objectifs de sécurité qui consistent à :
a. Eviter le risque
(Ou Refuser) Changer le contexte de telle sorte que l'on ne soit plus exposé ;
b. Réduire le risque
Prendre des mesures de sécurité pour diminuer l'impact et/ou la vraisemblance
du risque ;
c. Prendre le risque
(Ou maintenir), voire augmenter : assumer les conséquences sans prendre de
mesure de sécurité supplémentaire.
d. Transférer le risque
Partager les pertes occasionnées par un sinistre ou faire assumer la
responsabilité à un (des) tiers (une assurance par exemple).
(Voir Annexe 11 : Couverture des risques par les objectifs de sécurité CAMTEL)
Ris\Obj Obj01 Obj02 Obj03 Obj04

N° Ris 3 1 - 2
MODULE 4 : LES MESURES DE SECURITE

Le Troisième et dernier module s'inscrit dans le cadre du traitement des mesures
de sécurité. Il explique comment spécifier les mesures de sécurité à mettre en œuvre,
comment planifier la mise en œuvre de ces mesures et comment valider le traitement des
risques
8
Cette étape consiste à recenser l'ensemble des mesures de sécurité existantes sur les
éléments essentiels d'ores et déjà prévues. Pour chaque élément identifié, il convient de
s'interroger sur l'existence de mesures de sécurité. Ces mesures peuvent être techniques
ou non techniques (produit de sécurité logique ou physique, configuration particulière,
mesures organisationnelles ou humaines, règles, procédures…). Chaque mesure de
sécurité peut utilement être catégorisée selon la ligne de défense (préventive, protectrice
ou récupératrice) à laquelle elle appartient. Cela facilite alors la détermination des mesures
de sécurité en appliquant une défense en profondeur.
1. Formalisation des mesures de sécurité

a. Objectif
Cette activité implique le traitement des risques. Elle a pour but de déterminer les
mesures de sécurité adéquates pour atteindre les objectifs de sécurité identifiés et de
valider "formellement" les choix effectués.
b. Avantage
Permet d'exploiter les référentiels de mesures existants, élaborer des spécifiques
Permet de s'adapter à l'objectif de la gestion des risques et aux livrables attendus
Permet de mesurer l'efficacité des mesures de sécurité (effet)
Permet aux parties prenantes de décider objectivement de la poursuite des actions
Favorise l'implication et la responsabilisation des parties prenantes
Notre étude a récence les mesures à prendre en compte dans le tableau suivant :
(Voir Annexe 12)
Mesures de sécurité
Elément essentiel
N° Mes
Description des Dispositions à prendre.
2. Couverture des objectifs par les mesures de sécurité

Dès lors qu'une mesure de sécurité est spécifiée, nous remarquerons que :
a. Pour qu'un risque soit évité

Il convient de changer un élément du contexte afin de ne plus y être exposé. Cela
peut se traduire par des mesures de sécurité spécifique comme le changement de
localisation géographique, le fait de ne pas commencer ou poursuivre l'activité porteuse
du risque, la séparation d'informations ayant des besoins de sécurité bien différents sur
des éléments isolés…
b. Pour qu'un risque soit transféré

Il convient de partager les pertes avec un tiers. Les mesures de sécurité peuvent
ainsi consister à souscrire à une assurance, financer le risque, utiliser des produits, des
9
services ou des individus certifiés, contractualiser des clauses de transfert de

responsabilité…
c. Pour qu'un risque soit réduit

À un niveau acceptable il convient de diminuer sa gravité et/ou sa vraisemblance
en agissant sur ses composantes (sources de menaces, menaces, vulnérabilités, impacts…).
Ainsi nous avons obtenu par étude le tableau suivant, qui montre la couverture des
objectifs ci-haut par les mesures de sécurité envisagés.
(Voir Annexe 12)

Obj\Mes Mes01 Mes02 Mes03 Mes04 Mes05
Obj01 - - 1 1 1
Obj02 - 1 1 - 1
Obj03 - 1 1 1 1
Obj04 - - - 1 -
3. Couverture des risques par les mesures de sécurité
Le tableau suivant présente la liste des mesures de sécurité destinées à réduire ou

transférer les risques prioritaires (elles traitent également les autres risques):
(Voir Annexe 13)

Ris\Mes Mes01 Mes02 Mes03 Mes04 Mes05
R01 - - - - -
R02 - - - - -
R04 - - - - -
R05 - - - - -
Ces mesures de sécurité ont été déterminées dans l’objectif de couvrir différents
éléments des risques à traiter (vulnérabilités, menaces, sources de menaces, besoins de
sécurité ou impacts), d’aborder la plupart des thèmes de l’ISO 27002, de couvrir les
différentes lignes de défense (prévention, protection et récupération), et ont été
optimisées élément par élément essentiel.
4. Analyse des risques résiduels

Les risques résiduels, négligeables subsisteront une fois les mesures appliquées.
Si les mesures de sécurité précédemment identifiées sont mises en œuvre, alors le
niveau des risques jugés comme intolérables ou significatifs peut être ré-estimé comme
suit :
 Risque lié à l’indisponibilité des devis
Gravité 3. Négligeable 2. importante 1. Critique
Vraisemblance 3. Minime 2. Significative 1. maximale
 Risque lié à l’altération des devis et cahier de charge
10

 Risque lié à la compromission des devis et cahier de charge

 Risque lié à l’indisponibilité des plans d’infrastructures

 Risque lié à l’altération des plans de construction

 Risque lié à la compromission des plans de construction

 Risque lié à l’indisponibilité des contrats de marchés

 Risque lié à l’altération des contrats

 Risque lié à la compromission des contrats

 Risque lié à l’indisponibilité des applications et réseau

 Risque lié à l’altération des applications et réseau

 Risque lié à la compromission des applications et réseau

11
5. Déclaration d’applicabilité
Les contraintes d’applicabilité sont identifiées est explicitées comme suit :
paramètre à prendre en compte explication/justification

CAMTEL est soumise aux impôts et taxes du Cameroun. pris en compte.
pris en compte : les mesures de
sécurités formalisées
Obligation de respecter les jobs descriptions et les diplômes
demandent une grande
d’ingénieur.
compétence et beaucoup de
responsabilité.
CAMTEL est située dans un quartier populeux de Yaoundé sécurités formalisées doivent
proche des institutions. considérer les changements de
l'environnement.
Le développement des nouveaux services de sécurités formalisées tiennent
télécommunication et infrastructurel va nécessiter un compte également des
partenariat avec d’autres structures. nouvelles technologies et
fonctionnement.
ELABORATION DU PLAN D’ACTION

(Suivie des mesures de sécurité sur 3 ans)
Le plan d'action de LA CAMTEL, trié par terme, avancement et coût financier, est
établi comme suit :
Mesure de sécurité Responsable Difficulté Cout financier Terme Avancement
Mesure du trimestre
Service généraux (courant) Direction générale Faible Trimestre terminé
sécurité câblage Direction générale Faible Trimestre Terminé
Choix d'emplacement et Direction Système

protection du matériel d'information Faible Trimestre terminé
protection contre les Direction des

menaces extérieures et Approvisionnement
environnementales et de la logistique. Moyenne Trimestre En cours
Appels d’Offres
Direction Système national ou
sauvegarde de l'information d'information Moyenne international Trimestre terminé
12
périmètre de sécurité Direction des

physique. Infrastructures Faible Trimestre terminé
Direction Système
utilisation des mots de passe d'information Moyenne Trimestre terminé
restriction d'accès à Direction Système
l'information d'information Moyenne Trimestre En cours
Direction Système
messagerie électronique d'information Elevée Trimestre Terminé
déconnexion automatique Direction Système
des sessions inactives d'information Moyenne Trimestre terminé
Direction des
sécurité de la documentation Approvisionnement
système et de la logistique. Moyenne Trimestre En cours
Examen des droits Direction Système

utilisateurs d'information Faible Trimestre En cours
Mesure de l'année
Direction des
sécurisation des bureaux et Approvisionnement
salles et de la logistique. Faible Année Non démarré
Direction Système
sécurité service réseau d'information Moyenne Année En cours
périmètre de sécurité Direction de la
physique Sécurité Faible Année Non démarré
mesure contre les codes Direction Système
malveillants d'information Elevée Année Terminé, évolutif
contrôle d'accès au code Direction Système
source d'information Moyenne Année Non démarré
procédure de contrôle des Direction Système
modifications d'information Moyenne Année Non démarré
retrait des droits d'accès en Direction Système
fin de contrat d'information Faible Année Manuelle
Mesure sur 3 ans
élaboration et mise en œuvre
des plans de continuité Direction générale Moyenne 3 ans E cours
politique contrôle d'accès Direction générale Moyenne 3 ans En cours
politique d'utilisation des Direction Système
mesures cryptographiques d'information Elevée 3 ans Non démarré
Accord d'échange Direction générale Moyenne 3 ans En cours
1. Homologation de sécurité prononcée par le Directeur Général pour un an

Le Directeur de LA CAMTEL a prononcera l'homologation de sécurité de la
société au vu de l'étude réalisée (délimitation du périmètre, appréciation des risques,
élaboration du plan d'action, mise en évidence des risques résiduels…) et des livrables
élaborés (cartographie des risques, politique de sécurité de l'information).
13
Cette homologation de sécurité est valable un an et pourra être renouvelée tous les
ans. L’amélioration continue de l'étude de sécurité devra se poursuivre.
En résumé, les données exploitables d’une étude EBIOS aboutissant à une
Politique de Sécurité (PSSI) sont les suivantes :
2. Politique de sécurité
La politique de sécurité est formulée par des mesures de sécurité (annexe 12) et la promulgation
de la PSSI du droit d’accès à CAMTEL (annexe15).
14
MODULE 5 : LA PSSI (DROIT D’ACCES) À CAMTEL
1. Définition
Le contrôle d’accès peut se définir comme un mécanisme de limitation de
l’utilisation d’une ressource aux seules entités autorisées.
2. Autorisation et Contrôle d’Accès : modélisation

Les modèles de contrôle d’accès comme DAC, MAC, RBAC, TBAC ou TMAC ne
permettent de modéliser que des politiques de sécurité qui se restreignent à des
permissions statiques. Ils n’offrent pas la possibilité d’exprimer des règles contextuelles
relatives aux permissions, aux interdictions, aux obligations et aux recommandations. Ce
type de règle est particulièrement utile pour exprimer des politiques de sécurité dans le
domaine organisationnel. Dans cette étude, nous proposons un modèle qui permet de
spécifier de telles politiques de sécurité contextuelles. Ce modèle appelé Organisation
Based Access Control (ORBAC) s’appuie sur un langage formel basé sur la logique du
premier ordre (formulation logique du langage mathématique).
Le Contrôle d’accès Organisationnel (OrBAC)

C’est une extension du modèle RBAC qui vise deux niveaux de contraintes : le
Concret (sujet, action, objet) et l’Abstrait (rôle, activité, vue) pour l’implémentation d’une
politique en terme d’expression de permission, obligation et interdiction.
Le concept :
Dans notre étude et suivant les instructions des responsables de la SSI de

CAMTEL, nous nous attarderons sur le Contrôle d’Accès Administratif ou
Organisationnel. Le but final de l’approche étant de pouvoir ainsi dériver à partir du
modèle Or-Bac les règles permettant de définir les méthodes de bonne conduite au sein
des structures de CAMTEL. On expliquera donc le processus de génération des règles
basé sur cette approche.
15
Le Concept du modèle OrBAC
Il consiste à définir l’organisation, les rôles, les activités, les vues et les contextes ; à
gérer les utilisateurs (sujets), les objets et les actions ; à gérer en fin la politique de sécurité.
La règle est simple : Hiérarchisation (héritage : rôle, vue et activité) ; Séparation de
Privilèges et Cardinalité.
Le modèle Or-Bac définit un certain nombre d’entités et de relations (voir figure

ci-dessus). Les entités sont représentées par des rectangles et les relations par des ovales.
On voit se dessiner la structure à deux niveaux de la politique de sécurité où le sujet est
mis en correspondance avec le rôle, l’objet avec la vue et l’action avec l’activité.
Le concept d’organisation est central dans ce nouveau modèle. Une organisation
peut être vue comme un groupe organisé d’entités actives, c’est-à-dire de sujets jouant
certains rôles.
Dans ce modèle un sujet joue un rôle dans une organisation. Ainsi, l’entité Rôle est
utilisée pour structurer le lien entre les sujets et les organisations.
Par exemple l’utilisateur « Pierre » joue le rôle « administrateur » dans l’organisation
« Direction informatique ». Les permissions obtenues par Pierre dépendent ainsi de son
rôle et de l’organisation dans laquelle il l’exerce.
L’exemple précédent peut alors s’écrire de la manière suivante :
Empower (Direction_informatique, Pierre, administrateur)
Dans le modèle Or-Bac, l’entité Object représente principalement les entités non
actives, c’est-à-dire toutes les ressources de l’organisation, comme les fichiers, les courriers
électroniques, les formulaires imprimés, etc.
Une vue correspond, comme dans les bases de données relationnelles, à un
ensemble d’objets qui satisfont une propriété commune.
Les politiques de sécurité spécifient les accès autorisés aux entités passives par des
entités actives et régulent les actions effectuées sur le système. Dans le modèle Or-Bac,
l’entité Action englobe principalement les actions informatiques comme « lire », « écrire »,
« envoyer », etc. De la même manière que les rôles et les vues sont des abstractions des
sujets et des objets, l’entité Activity représente l’abstraction d’une action.
Le modèle Or-Bac permet ainsi d’établir une politique de sécurité abstraite (rôle,
activité, vue) indépendante des choix d’implémentation (sujet, action, objet). Les
permissions concrètes sont alors dérivées des permissions abstraites à l’aide de la règle de
dérivation suivante :
Si:
Permission(o, r, v, a, c) et empower(o, r, s) et consider(o, a, z) et use(o, v, y) et hold(o, s, z, y, c)
Alors:
is_permitted(s, z, y).
(Lire : o: organisation, r: rôle, v: vue, a: activité, c: contexte, s: sujet, y: objet, z: action.)
La Modélisation Or-Bac de la politique de sécurité d’accès de CAMTEL est

implémenté en « annexe 15 ».
16
Conclusion générale
En raison de ses vulnérabilités physiques et logiques, l’infrastructure et le système
d’information de CAMTEL peuvent subir des défaillances, et en raison des
interdépendances entre ses différents secteurs d’activités, de simples défaillances peuvent
avoir des conséquences dramatiques sur l’ensemble des infrastructures critiques. Dans ce
mémoire, nous nous sommes intéressés principalement aux systèmes d’information de
trois directions particulier ; c’est-à-dire l’infrastructure d’information (Direction des
Infrastructures), la Direction du Système d’Information et la Direction la Logistique et
des Approvisionnements. Nous avons ainsi proposé une approche pour répondre aux
problèmes de sécurité que rencontre CAMTEL dans ces trois compartiments, plus
particulièrement, ceux liés au contrôle d'accès. Le but étant bien sûr d’offrir à chaque
direction la possibilité de collaborer avec les autres, tout en maintenant un contrôle sur
ses données et sa politique de sécurité interne. Nous avons modélisé sur OrBAC, une
Politique de contrôle. Nous avons également conçu des mécanismes de vérification des
interactions et des mécanismes d’évolutivité des procédures de sécurité.
Bilan des contributions

Les principales contributions de ce mémoire sont résumées ci-après :
• Description des infrastructures critiques et infrastructures d’information
critiques et définition des besoins en sécurité : Nous avons identifié les besoins de
CAMTEL en matière de sécurité. Nous avons ensuite énuméré les vulnérabilités les plus
importantes qui touchent l’infrastructure et le système d’information. Nous avons
également présenté des solutions qui proposent des moyens pour se protéger vis-à-vis des
vulnérabilités précédemment décrites, en proposant différents des schémas de sécurité.
Dans la description de ces dernières, nous avons mis l’accent sur les objectifs de
CAMTEL et son organisation. Enfin, nous avons présenté la Politique de Sécurité pour
les Droits d’Accès, dans lequel s’intègre notre travail.
• État de l’art des modèles de contrôle d’accès: nous avons décrit le
fonctionnement, les avantages et les contributions de chacun des principaux modèles de
contrôle d’accès, en analysant comment ces modèles peuvent répondre ou non aux
besoins de contrôle d’accès que nous avions définis précédemment. Nous avons étudié et
analysé l’état de l’art dans le domaine des politiques et modèles de sécurité traditionnels
(DAC, MAC, RBAC, TBAC, OrBAC). Pour chaque modèle, nous connaissions les
avantages et les limites, le but étant de déterminer quel modèle pourrait convenir à nos
besoins en contrôle d’accès. Cette analyse des modèles de contrôle d’accès existants nous
a aidé à construire un schéma qui satisfait les exigences de confidentialité, d’intégrité et de
disponibilité que nous avions établies précédemment pour CAMTEL.
Perspectives
Nous ne pouvons clôturer ce travail sans signaler que beaucoup d’exigences nécessaires
pour l’atteinte des objectifs de sécurité de CAMTEL ne sont pas totalement satisfaites par
notre étude, mais abordées pour donner un tremplin à une études qui se veut évolutive
(exemple : Prise en compte de la notion de disponibilité, Prise en compte de la notion
d’intégrité, Déploiement et test des démonstrateurs sur le réseau existant, etc.).
17
Annexes
Annexe 1 : Les contraintes, hypothèses et impacts

Tableau 1 : Contraintes
Contraintes
contraintes d'ordre politique
Con01 Elles concernent les administrations de l'État et les établissements publics comme CAMTEL qui se
doivent d'appliquer les décisions gouvernementales. En effet, il s'agit de décisions d'orientation
stratégique ou opérationnelle, émanant de l'instance politique de l'Etat et qui doivent être appliquées.
contraintes d'ordre stratégique

Elles résultent de l’évolution prévue et des orientations de CAMTEL. Elles s'expriment dans les schémas
Con02 directeurs de l'organisation stratégiques ou opérationnels ;
Par exemple, les partenariats nationaux ou internationaux nécessitent des accords au niveau des échanges
sécurisés.
contraintes territoriales
Con03 CAMTEL a des sites dispersés sur l'ensemble du territoire national;
Par exemple, les Délégations Urbaines dans les deux plus grandes métropoles (Yaoundé et Douala), les
Représentations régionales, les agences dans les quartiers, ...
contraintes conjoncturelles
Le fonctionnement de l'entreprise peut être profondément modifié par des situations particulières telles
Con04 que des grèves, des crises nationales ou internationales ;
C'est alors que, la continuité de certains services doit pouvoir être assurée même en période de crise
grave. Tiers, ...
contraintes fonctionnelles
Con05 Elles sont issues des missions générales ou spécifiques de l'organisme ;
Du fait de la dépendance des autres opérateurs, CAMTEL a une mission de permanence qui exige une
disponibilité maximale de ses moyens techniques.
contraintes relatives au personnel
Con06 Celles-ci sont relatives au personnel, étant de natures très diverses et liées au niveau de responsabilité,
recrutement, qualification, formation, sensibilisation à la sécurité, motivation, disponibilité.
contraintes d'ordre calendaire
elles résultent de la réorganisation des services, de la
Con07 mise en place de nouvelles politiques nationales ou internationales qui vont imposer des échéances à date
fixe ;
à l'exemple de la création d'une direction ou d'un service spécial.
contraintes relatives aux méthodes
Compte tenu des savoir-faire internes à l'organisme, certaines méthodes (au niveau de la planification du
Con08 projet, des spécifications, du développement.) seront imposées dans le sens de la politique de de sécurité
qui serra adoptée;
La contrainte pourra être, par exemple, de devoir associer la politique de sécurité aux actions
relatives à la qualité des ressources physiques et du patrimoine de l'entreprise.
Con09 contraintes d'ordre budgétaire
18
Les mesures de sécurité préconisées ont un coût qui peut, dans certains cas, être très important. Si les
investissements dans le domaine un domaine de l'entreprise de l'Etat ne peuvent s'appuyer sur des
critères de rentabilité, une justification économique est généralement exigée par les services du Control
Supérieur de l'Etat;
Donc, pour certains organismes publics comme CAMTEL, le coût total des mesures de sécurité ne doit
pas être supérieur aux conséquences des risques redoutés. La Sous-direction de la Sécurité des SI de
CAMTEL doit donc apprécier et prendre des risques calculés si elle veut éviter un coût prohibitif pour la
sécurité.
contraintes d'antériorité
Tous les projets de politique de sécurité ne peuvent pas être développés simultanément. Certaines sont
Con10 dépendantes des définitions préalables. Une politique de sécurité peut faire
l'objet d'une décomposition en sous-politiques ; une politique n'est pas forcément conditionnée
par la totalité des sous-politiques ou d'une autre politique.
contraintes techniques
Elles proviennent:
- des fichiers (exigences en matière de gestion des supports électroniques, de gestion des règles d'accès
aux ressources électroniques.),
- de l'architecture générale (exigences en matière de topologie, centralisée, de type client-serveur, et
d'architecture physique.),
- des logiciels applicatifs (exigences en matière de conception des logiciels spécifiques, de standards du
Con11 marché.),
- des progiciels (exigences de standards, de niveau d'évaluation, qualité, conformité aux normes,
sécurité.),
- des matériels (exigences en matière de standards, qualité, conformité aux normes.),
- des réseaux de communication (exigences en matière de couverture, de standards, de capacité, de
fiabilité.),
- des infrastructures immobilières (exigences en matière de génie civil,
construction des bâtiments, courants forts, courants faibles.).
contraintes financières
Con12 La mise en place de mesures de sécurité sera limitée par le budget que CAMTEL peut y consacrer,
néanmoins la contrainte financière est à négociée en
fonction de l'étude de sécurité qui est en cours;
contraintes organisationnelles
- L'exploitation (exigences en matière de délais, de fourniture de résultats, de services, exigences de

surveillance, de suivi, de plans de secours, fonctionnement en mode dégradé.),
- la maintenance (exigences d'actions de diagnostic d'incidents, de prévention, de correction rapide.),
- la gestion des ressources humaines (exigences en matière de formation des opérationnels et des
Con13 utilisateurs, de qualification pour l'occupation des postes tels qu'administrateur système ou
administrateur de données.),
- la gestion administrative (exigences en matière de responsabilités des acteurs.),
- la gestion des développements (exigences en matière d'outils de développement, AGL, de plans de
recette, d'organisation à mettre en place.),
- la gestion des relations externes (exigences en matière d'organisation des relations tierces, en matière de
contrats.).
19
Tableau 2 : Hypothèses
Hypothèses
relatives au personnel
o le personnel est utilisateur de l'informatique, plus ou moins spécialiste,
Hyp01 o le responsable de la sécurité informatique est sous-directeur, il est sécurité de formation,
o le personnel de nettoyage intervient de 6h30 à 7h45,
o la réception des clients se fait dans les bureaux des commerciaux, mais des visites ont parfois lieu dans
les bureaux des techniciens, des Directeurs et sous-directeurs ;
d'ordre calendaire
Hyp02 o la période de pointe se situant en général lors des grandes fêtes annuelles, toute action (installation de
système de sécurité, formation et sensibilisation) se fera en dehors de cette période ;
d'ordre budgétaire
Hyp03 La société a fait un effort important en matière d'informatisation, tout investissement supplémentaire
devra être dûment justifié ;
d'ordre technique
Hyp04 o les règles d'identification logiciel doivent être respectées,
o des logiciels professionnels du domaine de l'authentification doivent être employés ; ;
d'environnement
Hyp05 o La Direction Générale occupe un immeuble de 16 étages au centre ville,
o La Direction Générale est sur l'axe principale du parcours présidentiel, le boulevard
o aucun déménagement n'est planifié.sur l'heure.
Tableau 3 : Impacts
Impacts
Perte de crédibilité vis à vis des clients
Imp01 Perte de confiance et expression d'infidélité de la part des clients et des partenaires:
- pas de facilité à cause des lenteurs administratives.
- pas de qualité de service adéquat
Perte du chiffre d'affaire
Imp02
Procès à l'encontre de la société
- divulgation involontaire des informations clientes ou des partenaires tenues secrètes

- pertes involontaire ou par accident d'information
Imp03 - mauvaise tenue des fichiers
Pour manquement à son devoir professionnel en terme de protection de l'information individuelle ou

collective, ou pour non respect des procédures inhérentes de sécurité de l'information.
Perte de partenaires
Imp04
Perte de souveraineté
Imp05 En tant que leadeur incontesté et incontournable dans le domaine des Télécommunications au
Cameroun
Incapacité de fournir les services et offres
Imp08
pour lenteurs dans les traitements et suivie approximative des dossiers
Dépôt de bilan
Imp07
Nuisances
Imp06 - pour pollution de l'environnement,
- pour non respect des règles d'hygiène,
- pour mauvais entretien de l'infrastructure ou acte de manipulation non entrevu.
20
Impossibilité de remplir les obligations légales

Imp09
Perte d'argent
Imp10 - pour Arrêt/indisponibilité du service
- pour cause de saturation du réseau, pour panne des équipements d'énergie et (ou) de climatisation, ou
pour mauvaise manipulation
Perte de la maitrise du système d'information
Imp11
pour cause d'intrusion dans le système.
Manque de performance des réseaux IP
Imp12 - performance des réseaux non améliorées,
- normes de sécurité et d'exploitation des services IP non respectées
Destruction du patrimoine de la société
- mauvaise entretien des biens meubles et immeubles
- non respect des normes et procédures de sécurité en terme de bâtiment publique.
Imp13 - perte de matériel et infrastructure réseaux
- saisie illicite du matériel de la société par un tiers non autorisé:
- par vol
- par détournement du matériel pour un tiers non autorisé
Annexe 2 : Liste des éléments essentiels

Tableau 1 : Fonctions essentiels
F01 Exploitation et de maintenance des infrastructures
Réseaux,
Plateformes de services,
Equipements d'énergie et d'environnement.
F02 Construction et évolution des infrastructures
Réseaux,
Plateformes de services,
F03 Construction et évolution des équipements
Energie,
Climatisation,
F04 Exploitation des réseaux et services
F05 Intervention sur les réseaux et les plateformes de services
F06 Evolution des systèmes d'information

Des réseaux et services IP
F07 Sécurité des systèmes d'information+réseaux IP
F08 Approvisionnement en logistique

De la logistique et de transport, en accord avec la stratégie générale de l'entreprise.
F09 Développement des applications
F10 Disponibilité, fiabilité et Intégrité des infrastructures SI
F11 Sécurité et maîtrise des risques liés aux SI
F12 Support aux utilisateurs des Système d'Information
21
les utilisateurs étant beaucoup plus le personnel CAMTEL qui utilise en majorité les softwares développé par
CAMTEL
F13 Formation du personnel
en relation avec les structures concernées
F14 Réseaux d'entreprise
F15 Disponibilité, fiabilité et Intégrité des réseaux IP
F16 Amélioration des performances des réseaux IP
F17 Exploitation et de maintenance des centres techniques IP
F18 Gestion du patrimoine de la société
F19 Centralisation des commandes
F20 Opérations de dédouanement
F21 Gestion du matériel roulant
Tableau 2 : Informations essentiels

I01 Politique d'exploitation, de maintenance et de supervision des infrastructures
de Transport,
des Réseaux d'accès,
de Plateformes de services,
des équipement d'énergie et d'environnement.
Ceci en accord avec la stratégie générale de l'entreprise.

I02 Politique informatique
Exploitation, maintenance et supervision des réseaux et services IP, en accord avec la stratégie générale de
l'entreprise.
I03 Politique d'approvisionnement, de la logistique et de transport
de Transport,
mobiliers et immobiliers de CAMTEL
Ceci en accord avec la stratégie générale de l'entreprise.

I04 Allocation des ressources
Matériel,
Réseaux,
Services.
I05 Politique d'Introduction des énergies renouvelables
I06 Politique d'Economie d'eau et d'électricité
I07 Qualité de service et de productivité

En rapport avec la Direction Commerciale et du Marketing.
I08 Dévellopement des services à valeur ajoutée
I09 Centralisation des commandes de matériels informatiques
22
I10 Gestion des adresses publiques Internet

Adresses allouées à la CAMTEL par une organisation Internationale agréée par l'Etat.
I11 Normes d'exploitation des services IP
I12 Procédures de passation et d'exécution des marchés
I13 Déclaration des sinistres
I14 Contrats d'assurance
Annexe 3 : Liste des entités

Tableau 1 : Entités Matériel
MAT : Matériel
ordinateur de bureau installé, répertorié et identifié par la DSIR.
MAT01 Poste de travail
Il est utilisé par un employé
Téléphone fixe (filaire) installé, répertorié et identifié par la
MAT02 Téléphone analogique fixe
DSI. Il est utilisé par un employé ou un service
équipement servant à l'impression des documents. Il est installé,
MAT03 Imprimante, Photocopieuse, Scanner répertorié et identifié par la DSIR. Il est utilisé par un employé
ou un service
MAT04 PABX PABX
MAT05 Serveurs Réseaux (Backup)
MAT06 Serveurs d'Applications
MAT07 Routeur
MAT08 Switch
MAT09 Baie de brassage
MAT10 Multiplexeur
Téléphone fixe (Ethernet) installé, répertorié et identifié par la
MAT11 Téléphone IP
DSI. Il est utilisé par un employé ou un service
MAT12 Caméra
MAT13 Voiture de Transite
MAT14 Voitures de terrain
MAT15 Voitures de Service
MAT16 Meubles
MAT17 Rebus matériel Matériel dégradé et mis de côté pour non utilisation.
MAT18 Climatiseurs
MAT19 Firewalls
23
Tableau 2 : Entités Logiciel

LOG : Logiciel
Word,
Excel,
PowerPoint,
LOG01 Suite bureautique
Outlook,
Visio;
Suite bureautique développée par la DSI
LOG02 Antivirus
LOG03 Plateforme d'administration
Tableau 3 : Entités Réseau

RES : Réseau
RES01 Wifi
RES02 Intranet
Tableau 4 : Entités Personnel

PER : Personnel
PER01 Help Desk Services d'aide
PER02 Opérateur de sauvegarde
Tableau 5 : Entités Physique (Sites)

PHY : Site
PHY02 Centres de Multiplexage
PHY03 Centre Backbone
PHY04 Centres de maintenance Informatique
PHY05 Salle serveur
PHY06 Salles de réunion
PHY07 Bureaux
PHY08 Garages
PHY09 Magasins
PHY10 Bâtiments
PHY11 Terrain
Tableau 6 : Entités Organisationnel

ORG : Organisation
ORG01 Appels d'Offres
Tableau 7 : Entités Système

SYS : Système
SYS01 Windows Server
SYS02 Systèmes d'exploitation
SYS03 Site internet
SYS04 Electricité Système d'approvisionnement en énergie électrique.
SYS05 Eau Système d'approvisionnement en eau
24
Annexe 4 : Croisement des éléments essentiels et des entités

EE\Ent LOG01 LOG02 LOG03 MAT01 MAT02 MAT03 ORG01 PER01 PER02 PHY02 PHY03 RES01 RES02 SYS01 SYS02 SYS03
F01 X - X X X - - - X X X - - - - -
F02 - - X - X - X X - X X - - X - -
F03 - - X - - - X X X X X - - - - -
F04 - - - - X - X X X X X X X - X X
F05 - - X - X - X X X X X - - X X -
F06 X X X X - X X X X - X - - - X X
F07 X X X X - - X X X - X X X X X X
F08 X - - - - X X - - - - - - - - -
F09 - X X - - - X X - - - - - X - -
F10 X X X X - - X - X X X X X X X X
F11 X X X X - - X X X X X X X - X X
F12 X X X X X X - X - - - X X X X X
F13 X - X X - - X - X X X - - X X X
F14 X X X X - X - - X - X X X X X X
F15 X X X X - - - X X X X X X X X X
F16 - X X X X - X X X - X X X X X X
F17 - X X X X - X X - - X - - - X -
F18 - - X - X - X - - X X - - - - -
F19 X X - X X X X - - - - X - X X -
F20 - - - - - X X X - - - - - - - -
F21 - - - - - - X X - - - - - - - -
I01 - - X - X - - - - X - - - - - -
I02 X X X X - X - X X - X X X X X X
I03 X - - - - - X - - - - - - - - -
I04 - X X X X - X - - - X - X - X -
I05 - - - - - - X X - - - - - - - -
I06 - - - - - - X X - - - - - - - -
I07 X - X X - X X X X - X X X X X X
Annexe 5 : Besoins de sécurité des éléments essentiels

F01 Exploitation et de maintenance des infrastructures D I C T
4 3 2 3
Disponibilité
Impacts
Perte d'argent
Intégrité
Nuisances
Impacts Perte de la maitrise du système d'information
Confidentialité
Impacts
Traçabilité
Dépôt de bilan
F02 Construction et évolution des infrastructures D I C T

4 2 2 3
Disponibilité
Impacts Incapacité de fournir les services et offres
Perte d'argent
Intégrité
Impacts Perte de souveraineté
Confidentialité
Traçabilité
Impacts
26
F03 Construction et évolution des équipements D I C T

3 0 2 2
Disponibilité
Perte d'argent
Intégrité
Confidentialité
Impacts
Traçabilité
Nuisances
Impacts Impossibilité de remplir les obligations légales
F04 Exploitation des réseaux et services D I C T

4 4 2 4
Disponibilité
Impacts
Perte d'argent
Intégrité

Impacts Dépôt de bilan
Perte d'argent
Confidentialité
Impacts
Traçabilité
Impacts Nuisances
27
F05 Intervention sur les réseaux et les plateformes de services D I C T

4 3 3 2
Disponibilité
Perte d'argent
Intégrité
Impacts
Confidentialité
Impacts
Traçabilité
Impacts Procès à l'encontre de la société
F06 Evolution des systèmes d'information D I C T

1 0 1 1
Disponibilité
Impacts
Intégrité
Impacts
Confidentialité
Impacts
Traçabilité
F07 Sécurité des systèmes d'information+réseaux IP D I C T

3 4 4 4
Disponibilité
Nuisances
Impacts
Intégrité
28

Confidentialité
Traçabilité
Impacts
F08 Approvisionnement en logistique D I C T

2 1 1 1
Disponibilité
Impacts
Perte d'argent
Intégrité
Nuisances
Confidentialité
Nuisances
Impacts
Traçabilité
Impacts
F09 Développement des applications D I C T

4 3 2 2
Disponibilité
Impacts
Intégrité
Dépôt de bilan
Perte d'argent
29
Confidentialité
Impacts
Traçabilité
F10 Disponibilité, fiabilité et Intégrité des infrastructures SI D I C T

4 4 2 3
Disponibilité
Impacts
Perte d'argent
Intégrité
Impacts
Perte d'argent
Confidentialité
Impacts
Traçabilité
Nuisances
F11 Sécurité et maîtrise des risques liés aux SI D I C T

3 3 4 4
Disponibilité
Impacts
Intégrité
Confidentialité
Impacts
Perte d'argent
Traçabilité
30
F12 Support aux utilisateurs des Système d'Information D I C T

3 1 2 2
Disponibilité
Impacts
Intégrité
Confidentialité
Traçabilité
F13 Formation du personnel D I C T

1 0 1 1
Disponibilité
Impacts
Intégrité
Impacts
Confidentialité
Traçabilité
Impacts
F14 Réseaux d'entreprise D I C T

4 4 1 3
Disponibilité
Impacts
Perte d'argent
Intégrité
Dépôt de bilan
Perte d'argent
Confidentialité
Traçabilité
F15 Disponibilité, fiabilité et Intégrité des réseaux IP D I C T

4 4 3 3
Disponibilité
31

Impacts
Perte d'argent
Intégrité
Impacts
Confidentialité
Impacts
Traçabilité
F16 Amélioration des performances des réseaux IP D I C T

3 0 0 1
Disponibilité
Impacts Perte de partenaires
Intégrité
Impacts
Confidentialité
Impacts
Traçabilité
Impacts
F17 Exploitation et de maintenance des centres techniques IP D I C T

3 3 2 3
Disponibilité
Impacts
Perte d'argent
Intégrité
Confidentialité
Impacts
Traçabilité
32

Impacts
F18 Gestion du patrimoine de la société D I C T

1 1 1 2
Disponibilité
Perte d'argent
Intégrité
Confidentialité
Nuisances
Impacts
Traçabilité
Impacts
F19 Centralisation des commandes D I C T

1 1 0 1
Disponibilité
Impacts Perte de partenaires
Intégrité
Impacts
Confidentialité
Impacts
Traçabilité
F20 Opérations de dédouanement D I C T

1 1 0 2
Disponibilité
Impacts
Intégrité
Confidentialité
Impacts
Traçabilité
33
F21 Gestion du matériel roulant D I C T

2 1 1 3
Disponibilité
Intégrité
Impacts
Confidentialité
Impacts
Traçabilité
Nuisances
I01 Politique d'exploitation, de maintenance et de supervision des infrastructures D I C T

3 3 2 3
Disponibilité
Impacts
Perte d'argent
Intégrité
Impacts
Confidentialité
Impacts
Traçabilité
I02 Politique informatique D I C T

4 4 1 1
Disponibilité
34

Dépôt de bilan
Impacts
Perte d'argent
Intégrité
Impacts
Confidentialité
Impacts
Traçabilité
Impacts Manque de performance des réseaux IP
I03 Politique d'approvisionnement, de la logistique et de transport D I C T

4 1 0 1
Disponibilité

Nuisances
Perte d'argent
Intégrité
Confidentialité
Impacts
Traçabilité
I04 Allocation des ressources D I C T

0 0 0 0
35
Disponibilité
Impacts
Intégrité
Impacts
Confidentialité
Impacts
Traçabilité
Impacts
I05 Politique d'Introduction des énergies renouvelables D I C T

1 0 0 1
Disponibilité
Intégrité
Impacts
Confidentialité
Impacts
Traçabilité
I06 Politique d'Economie d'eau et d'électricité D I C T

1 1 1 1
Disponibilité
Nuisances
Perte d'argent
Impacts
Intégrité
Impacts
Confidentialité
Traçabilité
Nuisances
I07 Qualité de service et de productivité D I C T

3 3 0 2
Disponibilité
Impacts
Perte d'argent
Intégrité
Impacts
36
Confidentialité
Traçabilité
Impacts
I08 Développement des services à valeur ajoutée D I C T

1 0 0 1
Disponibilité
Impacts
Intégrité
Impacts
Confidentialité
Impacts
Traçabilité
Impacts
I09 Centralisation des commandes de matériels informatiques D I C T

1 0 1 1
Disponibilité
Nuisances
Intégrité
Impacts
Confidentialité
Nuisances
Impacts
Traçabilité
Impacts
I10 Gestion des adresses publiques Internet D I C T

3 3 1 2
Disponibilité
Impacts
Intégrité
Confidentialité
Impacts
Traçabilité
Impacts
I11 Normes d'exploitation des services IP D I C T

4 2 2 3
37
Disponibilité

Nuisances
Impacts
Perte d'argent
Intégrité
Impacts
Confidentialité
Traçabilité
Impacts
I12 Procédures de passation et d'exécution des marchés D I C T

4 1 2 3
Disponibilité
Perte d'argent
Intégrité
Impacts
Confidentialité
Impacts
Traçabilité
I13 Déclaration des sinistres D I C T

3 1 0 3
Disponibilité
38

Impacts Nuisances
Perte d'argent
Intégrité
Impacts
Confidentialité
Traçabilité
Impacts
I14 Contrats d'assurance D I C T

2 4 1 2
Disponibilité
Impacts
Intégrité
Confidentialité
Traçabilité
Impacts
Annexe 6 : Synthèse des besoins de sécurité
Eléments essentiels Disponibilité Intégrité Confidentialité Traçabilité

F01 Exploitation et de maintenance des
4 3 2 3
infrastructures
F02 Construction et évolution des infrastructures 4 2 2 3
F03 Construction et évolution des équipements 3 0 2 2
F04 Exploitation des réseaux et services 4 4 2 4

F05 Intervention sur les réseaux et les
4 3 3 2
plateformes de services
F06 Evolution des systèmes d'information 1 0 1 1
F07 Sécurité des systèmes
3 4 4 4
d'information+réseaux IP
F08 Approvisionnement en logistique 2 1 1 1
39
F09 Développement des applications 4 3 2 2

F10 Disponibilité, fiabilité et Intégrité des
4 4 2 3
infrastructures SI
F11 Sécurité et maîtrise des risques liés aux SI 3 3 4 4
F12 Support aux utilisateurs des Système
3 1 2 2
d'Information
F13 Formation du personnel 1 0 1 1
F14 Réseaux d'entreprise 4 4 1 3
F15 Disponibilité, fiabilité et Intégrité des
4 4 3 3
réseaux IP
F16 Amélioration des performances des réseaux
3 0 0 1
IP
F17 Exploitation et de maintenance des centres
3 3 2 3
techniques IP
F18 Gestion du patrimoine de la société 1 1 1 2
F19 Centralisation des commandes 1 1 0 1
F20 Opérations de dédouanement 1 1 0 2
F21 Gestion du matériel roulant 2 1 1 3
I01 Politique d'exploitation, de maintenance et

3 3 2 3
de supervision des infrastructures
I02 Politique informatique 4 4 1 1

I03 Politique d'approvisionnement, de la
4 1 0 1
logistique et de transport
I04 Allocation des ressources 0 0 0 0
I05 Politique d'Introduction des énergies
1 0 0 1
renouvelables
I06 Politique d'Economie d'eau et d'électricité 1 1 1 1
I07 Qualité de service et de productivité 3 3 0 2
I08 Développement des services à valeur ajoutée 1 0 0 1

I09 Centralisation des commandes de matériels
1 0 1 1
informatiques
I10 Gestion des adresses publiques Internet 3 3 1 2
I11 Normes d'exploitation des services IP 4 2 2 3
I12 Procédures de passation et d'exécution des
4 1 2 3
marchés
I13 Déclaration des sinistres 3 1 0 3
I14 Contrats d'assurance 2 4 1 2
40
Annexe 7 : Synthèse des vulnérabilités de sécurité

D I C T
MA01 Incendie
X X - X
D I C T
MA02 Dégâts des eaux
X X - X
D I C T
MA03 Pollution
X X - -
D I C T
MA04 Sinistre majeur
X X - X
D I C T
MA05 Destruction de matériels ou de supports
X X - X
D I C T
MA11 Défaillance de la climatisation
X - - -
D I C T
MA12 Perte d'alimentation énergétique
X - - -
D I C T
MA13 Perte des moyens de télécommunication
X - - -
Vu28: Matériel maintenu à distance par des
Poste de travail
moyens de télécommunication
Téléphone analogique fixe
Imprimante, Photocopieuse,
Scanner
PABX
Serveurs Réseaux (Backup)
Serveurs d'Applications
Routeur
Switch
Baie de brassage
Multiplexeur
Téléphone IP 3
Caméra
Voiture de Transite
Voitures de terrain
Voitures de Service
Meubles
Appels d'Offres
Help Desk
Opérateur de sauvegarde
Garage
Magasin
Bâtiments
MA17 Interception de signaux parasites D I C T
compromettants - - X -
Vu29: Matériels susceptibles d'émettre des Centre de Multiplexage 3
41
rayonnements parasites compromettants
Centre Backbone
Centre de maintenance
Informatique
Salle serveur
Salle de réunion
Bureaux
WiFi
Intranet
D I C T
MA18 Espionnage à distance
- - X -
Vu10: Possibilités d'implanter des programmes
Suite bureautique
pirates
Antivirus
Plateforme d'administration
Voiture de Transite
Voitures de terrain
Voitures de Service
Meubles
Appels d'Offres
Help Desk
2
Centre de Multiplexage
Centre Backbone
Informatique
Salle serveur
Salle de réunion
Bureaux
Garage
Magasin
Bâtiments
Systèmes d'exploitation
D I C T
MA19 Ecoute passive
- - X -
Vu11: Accès logique au matériel permettant la
Suite bureautique
pose d'un logiciel d'écoute
Antivirus
Poste de travail 3
Scanner
PABX
42

Routeur
Switch
Baie de brassage
Multiplexeur
Téléphone IP
Caméra
Voiture de Transite
Voitures de terrain
Voitures de Service
Meubles
Appels d'Offres
Help Desk
Centre Backbone
Informatique
Salle serveur
Salle de réunion
Bureaux
Garage
Magasin
Bâtiments
WiFi
Intranet
Windows Server
Site internet
D I C T
MA20 Vol de supports ou de documents
- - X X
Vu12: Absence d'inventaires de supports Suite bureautique
Poste de travail
Scanner
PABX
1
Routeur
Switch
Baie de brassage
Multiplexeur
43
Téléphone IP
Caméra
Voiture de Transite
Voitures de terrain
Voitures de Service
Meubles
Appels d'Offres
Help Desk
Centre Backbone
Informatique
Salle serveur
Salle de réunion
Bureaux
Garage
Magasin
Bâtiments
WiFi
Intranet
Windows Server
Site internet
D I C T
MA21 Vol de matériels
X - X X
Vu13: Matériels insécurisés Poste de travail
Scanner
PABX
Routeur
Switch
Baie de brassage 1
Multiplexeur
Téléphone IP
Caméra
Voiture de Transite
Voitures de terrain
Voitures de Service
Meubles
Appels d'Offres
Help Desk
44
Centre Backbone
Informatique
Salle serveur
Salle de réunion
Bureaux
Garage
Magasin
Bâtiments
MA22 Récupération de supports recyclés ou mis D I C T
au rebut - - X -
D I C T
MA23 Divulgation
- - X -
D I C T
MA25 Piégeage du matériel
- X X -
Vu14: Possibilités de pose d'éléments matériels
Poste de travail
additionnels pour stocker, transmettre ou altérer
Scanner
PABX
Routeur
Switch
Baie de brassage
Multiplexeur
Téléphone IP
Caméra
1
Voiture de Transite
Voitures de terrain
Voitures de Service
Meubles
Appels d'Offres
Help Desk
Centre Backbone
Informatique
Salle serveur
Salle de réunion
Bureaux
45
Garage
Magasin
Bâtiments
WiFi
Intranet
D I C T
MA26 Piégeage du logiciel
X X X X
Vu15: Logiciels insécurisés Suite bureautique
Antivirus
Centre Backbone
Centre de maintenance 1
Informatique
Salle serveur
Windows Server
Site internet
D I C T
MA28 Panne matérielle
X X - -
Vu16: Mauvaises conditions d'utilisation Poste de travail
Scanner
PABX
Routeur 3
Switch
Baie de brassage
Multiplexeur
Centre Backbone
Informatique
D I C T
MA29 Dysfonctionnement du matériel
X X - -
Vu17: Mauvaises fiabilités des matériels Poste de travail
Scanner
2
PABX
Routeur
46
Switch
Baie de brassage
Multiplexeur
Téléphone IP
Caméra
D I C T
MA30 Saturation du système informatique
X - - X
Vu30: Mauvais dimensionnement des ressources Suite bureautique (ACCESS)
Antivirus
WiFi
4
Intranet
Windows Server
Site internet
D I C T
MA31 Dysfonctionnement logiciel
X X - X
Vu18: Défaillances des logiciels Suite bureautique
Antivirus
1
Windows Server
Site internet
D I C T
MA33 Utilisation illicite des matériels
X X X -
Vu19: Usages non autorisés des matériels Suite bureautique
Antivirus
Poste de travail
Scanner
PABX
Serveurs Réseaux (Backup) 3
Routeur
Switch
Baie de brassage
Multiplexeur
Téléphone IP
Caméra
Voiture de Transite
47
Voitures de terrain
Voitures de Service
Meubles
Appels d'Offres
Help Desk
Centre Backbone
Informatique
Salle serveur
Salle de réunion
Bureaux
Garage
Magasin
Bâtiments
WiFi
Intranet
Windows Server
Site internet
D I C T
MA35 Utilisation de logiciels contrefaits ou copiés
X - - -
Vu20: Logiciels sans licence Suite bureautique
Antivirus
Serveurs d'Applications 2
WiFi
Intranet
Windows Server
D I C T
MA36 Altération des données
- X X X
D I C T
MA37 Traitement illicite des données
- X X X
Vu22: Détériorations des données Poste de travail
Les données dont la modification ou la mise à jour Téléphone analogique fixe
n'est pas intègre et non justifiée Imprimante, Photocopieuse,
Scanner
PABX 1
Routeur
Switch
48
Baie de brassage
Multiplexeur
Téléphone IP
Caméra
Voiture de Transite
Voitures de terrain
Voitures de Service
Meubles
Appels d'Offres
Help Desk
Garage
Magasin
Bâtiments
D I C T
MA38 Erreur d'utilisation
X X X X
D I C T
MA39 Abus de droit
X X X X
Vu24: Absence de contrôle d'accès Suite bureautique
Les droits ne sont pas respectés et sont utilisé de Antivirus
manière abusive Plateforme d'administration
Poste de travail
Scanner
PABX
Routeur
Switch
Baie de brassage
Multiplexeur 2
Téléphone IP
Caméra
Voiture de Transite
Voitures de terrain
Voitures de Service
Meubles
Appels d'Offres
Help Desk
Centre Backbone
Informatique
49
Salle serveur
Salle de réunion
Bureaux
Garage
Magasin
Bâtiments
Windows Server
Site internet
Vu25: Absence de protection physique Suite bureautique
Antivirus
Poste de travail
Scanner
PABX
Routeur
Switch
Baie de brassage
Multiplexeur
Téléphone IP
Caméra
Voiture de Transite
Voitures de terrain
2
Voitures de Service
Meubles
Appels d'Offres
Help Desk
Centre Backbone
Informatique
Salle serveur
Salle de réunion
Bureaux
Garage
Magasin
Bâtiments
Windows Server
Site internet
50
D I C T
MA40 Usurpation de droit
X X X -
D I C T
MA41 Reniement d'actions
- X - X
Vu26: Absence de méthodes de suivi des actions Suite bureautique
Antivirus
Poste de travail
Scanner
PABX
Routeur
Switch
Baie de brassage
Multiplexeur
Téléphone IP
Caméra
Voiture de Transite
Voitures de terrain
Voitures de Service
3
Meubles
Appels d'Offres
Help Desk
Centre Backbone
Informatique
Salle serveur
Salle de réunion
Bureaux
Garage
Magasin
Bâtiments
WiFi
Intranet
Windows Server
Site internet
Vu27: Absence de procédures d'accès à
Suite bureautique
l'information classifiée
3
Antivirus
51
Poste de travail
Scanner
PABX
Routeur
Switch
Baie de brassage
Multiplexeur
Téléphone IP
Caméra
Voiture de Transite
Voitures de terrain
Voitures de Service
Meubles
Appels d'Offres
Help Desk
Centre Backbone
Informatique
Salle serveur
Salle de réunion
Bureaux
Garage
Magasin
Bâtiments
WiFi
Intranet
Windows Server
Site internet
D I C T
MA42 Atteinte à la disponibilité du matériel
X - - -
52
Annexe 8 : Formalisation des menaces pesant sur le système-cible

Menaces formalisées Opp. Référence
Attaques externes (réf: MA18-Vu10)
Men09 Description de la vulnérabilité correspondante : 2 MA18-Vu10
<<Injections de codes, ou de processus par des accès non sécurisés du
réseau>>
Mise à jour sur les mots de passes (réf: MA19-Vu11)
<<Changement sur une période bien définie, des mots de passes systèmes,
serveurs, et utilisateurs>>
Contrôle des entrées et sorties des supports (réf: MA20-Vu12)
<<Surveillance des entrées et sorties des supports physiques et logiques
>>
Perte de matériel (réf: MA21-Vu13)
<<Perte de matériel lié à un vol ou un accident lors du transport>>
Accès sécurisés ou pas (réf: MA25-Vu14)
<<L'accès à certains matériels doit être protégé physiquement et/ou
logiquement>>
Modification de l'utilisation du logiciel (réf: MA26-Vu15)
<<>>
Mauvaise usage du matériel (réf: MA28-Vu16)
<<Dysfonctionnement et destruction accidentelle et/ou volontaire du
matériel>>
Détérioration du matériel (réf: MA29-Vu17)
<<Destruction accidentelle et/ou volontaire du matériel>>
Détérioration du logiciel (réf: MA31-Vu18)
<<La licence du logiciel ou du système n'est pas mise à jour>>
Accès non autorisés (réf: MA33-Vu19)
<<L'accès libre ou protégé à un matériel est contourné illégalement>>
Logiciels piratés (réf: MA35-Vu20)

<<Les logiciels utilisés sont des fausses copies ou trés souvent des versions
gratuites>>
Modifications illicites et non autorisées des données (réf: MA37-
Vu22)
<<Les données dont la modification ou la mise à jour n'est pas intègre et
non justifiée>>
Men23 Mauvaise utilisation des droits (réf: MA39-Vu24) 2 MA39-Vu24
53

<<Les droits ne sont pas respecté et sont utilisé de manière abusive>>
Action négative sur les biens supports (réf: MA41-Vu26)

<<Impossibilité de savoir qui a posé un acte>>
Sabotage ou perturbation de l'installation Télécom par une personne

accédant aux dispositifs de télécommunication (réf: MA13-Vu28)
Men27 3 MA13-Vu28
Interruption faible ou longue des services de communication et pertes
financières
Divulgation des communications ou des traitements (réf: MA17-
Vu29)
Men28 3 MA17-Vu29
<<>>
Perte d'information et indisponibilité temporaire des services (réf:
MA30-Vu30)
Men29 4 MA30-Vu30
<<>>
Une personne en visite ou un personnel ayant accès à des locaux non
sécurisés peut agir de façon malveillante au sein des locaux (réf:
Men34 MA39-Vu25) 2 MA39-Vu25
<<>>
L'accès à toute information classifiée doit recourir à une
identification et une authentification (réf: MA41-Vu27)
Men39 3 MA41-Vu27
<<>>
Annexe 9 : Formalisation et priorisation des risques de sécurité

Pertes Pertes Pertes Pertes Pertes
Risques de sécurité Opp.
Max. D I C T
Pertes financières et de crédibilité (réf:
R01 0 4 4 4 4 4
Men29)
Interruption faible ou longue des services
R02 0 4 4 4 4 4
Télécom (réf: Men27)
R04 Modification et vol de données (réf: Men18) 0 4 4 4 4 4
R05 Perte de crédibilités (réf: Men28) 0 4 4 4 4 4
Protection contre des hackers et attaques
R07 0 4 4 4 4 4
(réf: Men10)
Risque d'action illégale sur les données (réf:
Men25)
R10 0 4 4 4 4 4
<<Impossibilité de savoir qui a posé un acte>>
Risque lié à l'indisponibilité du matériel (réf:
Men15)
R13 0 4 4 4 4 4
<<Dysfonctionnement et destruction
accidentelle et/ou volontaire du matériel>>
R14 Utilisation illicite des droits (réf: Men39) 0 4 4 4 4 4

R15 Attaque sur les personnes et les biens (réf: 0 4 4 4 4 4
54
Men34)
R17 Pertes de données (réf: Men09) 0 4 4 4 4 4
Risque d'arrêt de fonctionnement du
matériel (réf: Men16)
R23 0 4 4 4 4 4
<<Destruction accidentelle et/ou volontaire du
matériel>>
Risque d'utilisation disproportionnée des
droits (réf: Men23)
R24 0 4 4 4 4 4
<<Les droits ne sont pas respecté et sont utilisé
de manière abusive>>
R25 Risque lié au logiciel contrefait (réf: Men19) 0 4 4 4 4 4

Risque d'altération et/ou d'indisponibilité
des données (réf: Men21)
R28 0 4 4 4 4 4
<<Les données dont la modification ou la mise
à jour n'est pas intègre et non justifiée>>
Risque d'arrêt de fonctionnement des
R29 0 4 4 4 4 4
logiciels (réf: Men17)
Risque de compromission des logiciels (réf:
R30 0 4 4 4 4 4
Men14)
Risque de disparition du matériel et
R31 0 4 4 4 4 4
logistique (réf: Men12)
Risque de non traçabilité des supports (réf:
R32 0 4 4 4 4 4
Men11)
Risque lié à des accès non autorisés (réf:
R33 0 4 4 4 4 4
Men13)
Annexe 10 : Formalisation des objectifs de sécurité

Objectifs de sécurité
Eviter
Obj01
(ou Refuser) Changer le contexte de telle sorte que l'on ne soit plus exposé
Réduire
Obj02
prendre des mesures de sécurité pour diminuer l'impact et/ou la vraisemblance du risque.
Prendre
Obj03 (ou maintenir), voire augmenter : assumer les conséquences sans prendre de mesure de sécurité
supplémentaire.
Transférer
Obj04 Partager les pertes occasionnées par un sinistre ou faire assumer la responsabilité à un (des) tiers
(une assurance).
55
Annexe 11 : Couverture des risques par les objectifs de sécurité

Ris\Obj Obj01 Obj02 Obj03 Obj04
R01 - - - -
R02 - - - -
R04 - - - -
R05 - - - -
R07 3 - - 2
R10 3 2 - 2
R13 1 - 2 2
R14 1 - - -
R15 - - - -
R17 - 2 - 2
R23 1 - 2 -
R24 1 - 1 2
R25 - - 1 2
R28 1 1 - 2
R29 1 - - 2
R30 1 1 - 2
R31 - - - 2
R32 - - - 2
R33 1 - - 1
Annexe 12 : Formalisation des mesures de sécurité

Mesures de sécurité
Service généraux
Mes01 Il convient de protéger le matériel des coupures de courant et autres perturbation dues à une
défaillance des services généraux, partagés par l'ensemble des services déconcentrés
Sécurité câblage
Mes02 Il convient de protéger les câbles électriques ou de télécommunication transportant des
informations contre toute interception ou dommage.
Choix de l'architecture réseau
Mes03
Il convient de situer et de bien concevoir les réseaux à mettre en place.
Protection des infrastructures, réseaux et du matériel
Mes04 Il convient de protéger le matériel de manière à réduire les risques de menaces et de dangers
environnementaux et les possibilités d'accès non autorisés.
Protection contre les menaces internes
Mes05 Il convient de concevoir et d'appliquer des mesures de protection logiques et physiques contre des
attaques provenant du personnel ou de disfonctionnement système.
Protection contre les menaces externes
Mes06 Il convient de concevoir et d'appliquer des mesures de protection physique contre les dommages
causés par les incendies, les inondations, les tremblements de terre, les expulsions, les troubles civils
et autres formes de catastrophes naturelles ou de sinistres provoqués par l'homme ou la nature.
Mes07 Sauvegarde de l'information
56
Il convient de réaliser des copies de sauvegarde des informations et logiciels et de les soumettre
régulièrement à essai conformément à la politique de sauvegarde convenue.
Gestion du patrimoine de la société

Mes08 Il convient de protéger les acquis et l’investissement public de la société contre les activités de
vandalisme, les litiges sur les contrats et les destructions naturelles.
Périmètre de sécurité physique
Mes09 Il convient de protéger les zones contenant des informations et des moyens de traitement de
l'information par des obstacles logiques et physiques.
Accord d'échange, de passation et d'exécution des marchés
Mes10 Il convient de conclure des accords pour l'échange d'informations entre l'organisme et la partie
externe, qui peut être un partenaire ou un fournisseur.
Sensibilisation, qualification et formation en matière de sécurité de l'information
Mes11 Il convient que l'ensemble des salariés d'un organisme et, le cas échant, les contractants et
utilisateurs tiers suivent une formation adaptée sur la sensibilisation et reçoivent régulièrement les
mises à jour des politiques et procédures de l'organisme, pertinentes pour leurs fonctions.
Politique du bureau propre

Mes12 Il convient d'adopter une politique du bureau propre pour les documents papier et les supports de
stockage amovibles, ainsi que l'entretien des édifices de CAMTEL.
Politique d'utilisation des mesures cryptographiques

Mes13 Il convient d'élaborer et de mettre en œuvre une politique d'utilisation des mesures
cryptographiques en vue de protéger l'information.
Elaboration et mise en œuvre des plans de continuité
Mes14 Il convient d'élaborer et de mettre en œuvre des plans destinés à maintenir ou à restaurer
l'exploitation et à assurer la disponibilité des informations au niveau et dans les délais
requis suite à une interruption ou une panne affectant les processus métier cruciaux.
Fuite d'information
Mes15
Il convient d'empêcher toute possibilité de fuite d'informations.
Système de gestion des mots de passe

Mes16 Il convient que les systèmes qui gèrent les mots de passe soient interactifs et fournissent des mots
de passe de qualité.
Logistique utilisateur non surveillé
Mes17 Il convient que les utilisateurs s'assurent que tout matériel laissé sans surveillance est doté d'un
dispositif de protection approprié, voir automatique.
Engagement de confidentialité
Mes18 Il convient d'identifier et de réexaminer régulièrement les exigences en matière d'engagements de
confidentialité ou de non-divulgation, conformément aux besoins de l'organisme.
Mes19 Actualisation des droits d'accès
57
Il convient que les droits d'accès de l'ensemble des salariés, contractants et utilisateurs tiers à
l'information et aux moyens de traitement de l'information soient supprimés à la fin de leur période
d'emploi, ou modifiés en cas de modification du contrat ou de l'accord.
Gestion des privilèges

Mes20
Il convient de restreindre et de contrôler l'attribution et l'utilisation des privilèges.
Authentification des utilisateurs pour la connexion externe

Mes21 Il convient d'utiliser des méthodes d'authentification appropriées pour contrôler l'accès
d'utilisateurs distants.
Protection des enregistrements de l'organisme
Mes22 Il convient de protéger les enregistrements importants de la perte, destruction et falsification
conformément aux exigences légales, réglementaires et aux exigences métier.
Procédure de contrôle des modifications

Mes23
Il convient de contrôler la mise en œuvre des modifications par le biais de procédures formelles.
Contrôle d'accès au code source

Mes24
Il convient de restreindre l'accès au code source du programme.
Validation des donnés en sortie

Mes25 Il convient de valider les données de sortie d'une application pour vérifier que le traitement des
informations stockées est correct et adapté aux circonstances.
Intégrité des messages
Mes26 Il convient d'identifier les exigences relatives à l'authentification et à la protection de l'intégrité des
messages. Il convient également d'identifier et de mettre en œuvre les mesures appropriées.
Validation des données en entrée

Mes27 Il convient de valider les données entrées dans les applications afin de vérifier si elles sont correctes
et appropriées.
Mesure relative au traitement
Mes28 Il convient d'inclure des mesures de validation dans les applications afin de détecter les éventuelles
altérations de l'information dues à des erreurs de traitement ou des actes délibérés.
Mesure contre les codes malveillants
Mes29 Il convient de mettre en œuvre des mesures de détection, de prévention et de récupération pour se
protéger des codes malveillants ainsi que des procédures appropriées de sensibilisation des
utilisateurs.
Mesure sur les réseaux
Mes30 Il convient de gérer et de contrôler les réseaux de manière adéquate pour qu'ils soient protégés des
menaces et de maintenir la sécurité des systèmes et des applications utilisant le réseau, notamment
les informations en transit.
Mes31 Séparation des tâches
58
Il convient de séparer les tâches et les domaines de responsabilité pour réduire les occasions de
modification ou de mauvais usage non autorisé(e) ou involontaire des biens de l'organisme.
Restitution des biens
Mes32 Il convient que tous les salariés, contractants et utilisateurs tiers restituent la totalité des biens de
l'organisme qu'ils ont en leur possession à la fin de leur période d'emploi, contrat ou accord.
Utilisation correcte des biens

Mes33 Il convient d'identifier, de documenter et de mettre en œuvre des règles permettant l'utilisation
correcte de l'information et des biens associés aux moyens de traitement de l'information.
Sécurité des services réseaux
Mes34 Pour tous les services réseau, il convient d'identifier les fonctions réseau, les niveaux de service et
les exigences de gestion, et de les intégrer dans tout accord sur les services réseau, qu'ils soient
fournis en interne ou en externe.
Condition de partenariat d'échange de services
Dans le cadre de leurs obligations contractuelles, il convient que les partenaires de CAMTEL et les
Mes35 tiers fournisseurs se mettent d'accord sur les modalités du contrat d'échanges les liant et le signent.
Il convient que ce contrat définisse respectivement les responsabilités de CAMTEL et de
l'organisme partenaire en terme de sécurité de l'information, des biens et matériels logistique.
Opération de passation des marchés

Mes36 Il convient d'élaborer un processus réglementaire formel pour les partenaires et fournisseurs
soumissionnaires aux prestations pour ne pas enfreint les règles de sécurité en terme de transport et
fourniture du matériel.
Sécurisation des bureaux et des locaux
Mes37 Il convient de concevoir et d'appliquer des mesures de sécurité physique pour les bureaux, les salles
et les équipements
Réexamen des droits d'accès aux bureaux et locaux

Mes38 Il convient que la direction revoie les droits d'accès utilisateurs à intervalles réguliers par le biais
d'un processus formel.
Gestion de la Géo localisation

Mes39 Il convient de concevoir ou d'implémenter un système de géo localisation du matériel mobil de
CAMTEL, dans le but d'un meilleur suivie des incidents extérieur à l'environnement de CAMTEL.
Sécurité de la documentation du système

Mes40
Il convient de protéger la documentation système contre les accès non autorisés.
Déconnexion automatique des sessions inactives

Mes41
Il convient que les sessions inactives soient déconnectées après une période d'inactivité définie.
Messagerie électronique
Mes42 Il convient de protéger de manière adéquate les informations transitant par la messagerie
électronique.
Mes43 Restriction d'accès à l'information
59
Pour les utilisateurs et le personnel chargé de l'assistance technique, il convient de restreindre

l'accès aux informations et aux fonctions applicatives conformément à la politique de contrôle
d'accès.
Utilisation des mots de passes statiques

Mes44 Il convient de demander aux utilisateurs de respecter les bonnes pratiques de sécurité lors de la
sélection et de l'utilisation des mots de passe.
Politique de contrôle d'accès
Mes45 Il convient d'établir, de documenter et de réexaminer une politique de contrôle d'accès sur la base
des exigences d'exploitation et de sécurité.
Adoption d'une démarche globale

Mes46
Un politique de gestion globale de la sécurité des avoirs de CAMTEL.
Gestion des risques
Mes47
Utilisation des mécanismes de chiffrement

Mes48
dissimuler l'information à échanger en clair, à l'extérieur de la société comme à l'intérieur.
Authentification d'une personne par certificat électronique

Mes49
Authentification d'un serveur par certificat électronique

Mes50
Signature d'une personne par certificat électronique

Mes51
Mise en place des habilitations

Mes52
Marquage et manipulation de l'information
Mes53 Il convient d'élaborer et de mettre en œuvre un ensemble approprié de procédures pour le

marquage et la manipulation de l'information, conformément au plan de classification adopté par
l'organisme.
Contrôle physique des accès

Mes54 Il convient de protéger les zones sécurisées par des contrôles à l'entrée adéquats pour s'assurer que
seul le personnel et matériel habilité soit admis.
Protection contre les menaces extérieures et environnementales
Mes55 Il convient de concevoir et d'appliquer des mesures de protection physique contre les dommages
causés par les incendies, les inondations, les tremblements de terre, les explosions, les troubles
civils et autres formes de catastrophes naturelles ou de sinistres provoqués par l'homme..
Maintenance du matériel, logistique, meuble et immeuble

Mes56 Il convient d'entretenir le bien matériel correctement pour garantir sa disponibilité permanente et
son intégrité.
Sortie d'un bien
Mes57 Il convient de ne pas sortir un matériel, des informations ou des logiciels des locaux de l'organisme
sans autorisation préalable.
Mes58 Mesures sur les réseaux
60
Il convient de gérer et de contrôler les réseaux de manière adéquate pour qu'ils soient protégés des
menaces et de maintenir la sécurité des systèmes et des applications utilisant le réseau, notamment
les informations en transit.
Sécurité des services
Mes59 Pour tous les services réseau, il convient d'identifier les fonctions réseau, les niveaux de service et
les exigences de gestion, et de les intégrer dans tout accord sur les services réseau, qu'ils soient
fournis en interne ou en externe.
Gestion des supports

Mes60
Il convient de mettre en place des procédures pour la gestion des supports amovibles.
Enregistrement des utilisateurs
Mes61 Il convient de définir une procédure formelle d'enregistrement et de désinscription des utilisateurs
destinée à accorder et à supprimer l'accès à tous les systèmes et services d'information.
Gestion des accès non prévus par la PSSI

Mes62 Il convient que la politique de sécurité soit constamment mise à jour pour limiter des actes
imprévus et indésirables dans le système.
Identification des matériels en réseau
Mes64 Il convient de considérer l'identification automatique de matériels comme un moyen
d'authentification des connexions à partir de lieux et matériels spécifiques.
Protection des ports de diagnostic et de configuration à distance

Mes65 Il convient de contrôler l'accès physique et logique aux ports de diagnostic et de configuration à
distance.
Cloisonnement des réseaux
Mes66 Il convient que les groupes de services d'information, d'utilisateurs et de systèmes d'information
soient séparés sur le réseau.
Contrôle du routage réseau
Mes67 Il convient de mettre en œuvre des mesures du routage des réseaux afin d'éviter que les connexions
réseau et les flux d'informations ne portent atteinte à la politique de contrôle d'accès des
applications de gestion.
Ouverture de session sécurisée

Mes68 Il convient que l'accès aux systèmes d'exploitation soit soumis à une procédure sécurisée
d'ouverture de session.
Identification et authentification de l'utilisateur
Mes69 Il convient d'attribuer à chaque utilisateur un identifiant unique et exclusif et de choisir une
technique d'authentification permettant de vérifier l'identité déclarée par l'utilisateur.
Isolement des systèmes sensibles

Mes71
Il convient que les systèmes sensibles disposent d'un environnement informatique dédié (isolé).
61
Annexe 13 : Couverture des objectifs par les mesures de sécurité

(Échantillon)
Obj\Mes Mes01 Mes02 Mes03 Mes04 Mes05 Mes06 Mes07 Mes08 Mes09 Mes10 Mes59 Mes60 Mes61 Mes62 Mes64 Mes65 Mes66 Mes67 Mes68 Mes69 Mes71
Obj01 - - 1 1 1 1 1 - 1 1 - - - -- - - - - - -
Obj02 - 1 1 - 1 1 1 1 1 1 - - - -- - - - - - -
Obj03 - 1 1 1 1 - - - - - - - - -- - - - - - -
Obj04 - - - 1 - 1 1 1 1 1 - - - -- - - - - - -
Annexe 14 : Couverture des risques par les mesures de sécurité (échantillon)

Ris\Mes Mes01 Mes02 Mes03 Mes04 Mes05 Mes55 Mes56 Mes57 Mes58 Mes59 Mes60 Mes61 Mes62 Mes64 Mes65 Mes66 Mes67 Mes68 Mes69 Mes71
R01 - - - - - - - - - - - - -- - - - - - -
R02 - - - - - - - - - - - - -- - - - - - -
R04 - - - - - - - - - - - - -- - - - - - -
R05 - - - - - - - - - - - - -- - - - - - -
R07 - - 3 3 3 - - - - - - - -- - - - - - -
R10 - 2 3 3 3 - - - - - - - -- - - - - - -
R13 - 2 2 2 2 - - - - - - - -- - - - - - -
R14 - - 1 1 1 - - - - - - - -- - - - - - -
R15 - - - - - - - - - - - - -- - - - - - -
R17 - 2 2 2 2 - - - - - - - -- - - - - - -
R23 - 2 2 2 2 - - - - - - - -- - - - - - -
R24 - 1 1 2 1 - - - - - - - -- - - - - - -
R25 - 1 1 2 1 - - - - - - - -- - - - - - -
R28 - 1 1 2 1 - - - - - - - -- - - - - - -
R29 - - 1 2 1 - - - - - - - -- - - - - - -
R30 - 1 1 2 1 - - - - - - - -- - - - - - -
R31 - - - 2 - - - - - - - - -- - - - - - -
Table des matières

Dédicaces ................................................................................................................................................. II
Remerciements ........................................................................................................................................ III
Glossaire ................................................................................................................................................. IV
Résume..................................................................................................................................................... V
Abstract .................................................................................................................................................... V
Sommaire ................................................................................................................................................ II
Introduction Générale ............................................................................................................................. IV
Le socle de la sécurité des systèmes d'information est la PSSI. .......................................................................... IV
Les orientations stratégiques ....................................................................................................................... IV
Les enjeux de la politique de sécurité. ........................................................................................................... IV
La PSSI ............................................................................................................................................... IV
Les méthodologies de sécurité ....................................................................................................................... 5
ETUDE DU SYSTEME D’INFORMATION DE LA CAMTEL AVEC LA DEMARCHE EBIOS
................................................................................................................................................................. 7
MODULE 1 : ETUDE DU CONTEXTE ........................................................................................... 1
1. Le Cadre de la gestion des risques ................................................................................................. 1
2. Planification des Activités d'EBIOS .............................................................................................. 1
3. L’organisme étudié : LA CAMTEL ............................................................................................... 2
4. Présentation du système cible ....................................................................................................... 2
5. Le contexte législatif et réglementaire : .......................................................................................... 2
6. Le périmètre de l’étude ................................................................................................................. 2
7. Les contraintes, hypothèses et impacts .......................................................................................... 3
8. Liste des éléments essentiels ......................................................................................................... 4
9. Liste des entités ............................................................................................................................ 4
10. Matrice de croisement des éléments essentiels et des entités...................................................... 4
MODULE 2 : LES BESOINS DE SECURITE .................................................................................. 4
1. Les critères de sécurité .................................................................................................................. 5
a. Disponibilité ................................................................................................................................ 5
b. Intégrité ...................................................................................................................................... 5
c. Confidentialité.............................................................................................................................. 5
d. Traçabilité................................................................................................................................... 5
2. Synthèse des besoins de sécurité ................................................................................................... 5
a. Protection de l’outil de travail .......................................................................................................... 5
b. Protection des données .................................................................................................................... 6
c. Protection juridique ....................................................................................................................... 6
63
3. Synthèse des vulnérabilités liées aux éléments essentiels ................................................................ 7

MODULE 3 : LES MENACES ET RISQUES DE SECURITE ....................................................... 7
1. Les menaces ................................................................................................................................. 7
2. Les risques et objectifs de sécurité ................................................................................................ 7
3. Les objectifs de sécurité ................................................................................................................ 8
a. Eviter le risque............................................................................................................................. 8
b. Réduire le risque ........................................................................................................................... 8
c. Prendre le risque ........................................................................................................................... 8
d. Transférer le risque ....................................................................................................................... 8
MODULE 4 : LES MESURES DE SECURITE................................................................................. 8
1. Formalisation des mesures de sécurité .......................................................................................... 9
a. Objectif ....................................................................................................................................... 9
b. Avantage .................................................................................................................................... 9
2. Couverture des objectifs par les mesures de sécurité ..................................................................... 9
a. Pour qu'un risque soit évité ............................................................................................................. 9
b. Pour qu'un risque soit transféré ....................................................................................................... 9
c. Pour qu'un risque soit réduit ......................................................................................................... 10
3. Couverture des risques par les mesures de sécurité...................................................................... 10
4. Analyse des risques résiduels ....................................................................................................... 10
5. Déclaration d’applicabilité........................................................................................................... 12
ELABORATION DU PLAN D’ACTION ........................................................................................ 12
1. Homologation de sécurité prononcée par le Directeur Général pour un an ................................. 13
2. Politique de sécurité .................................................................................................................... 14
MODULE 5 : LA PSSI (DROIT D’ACCES) À CAMTEL ................................................................ 15
1. Définition ................................................................................................................................... 15
2. Autorisation et Contrôle d’Accès : modélisation ......................................................................... 15
Le Contrôle d’accès Organisationnel (OrBAC)......................................................................................... 15
Le Concept du modèle OrBAC ............................................................................................................. 16
Conclusion générale ............................................................................................................................ 17
Annexes ............................................................................................................................................... 18
Annexe 1 : Les contraintes, hypothèses et impacts .............................................................................. 18
Tableau 1 : Contraintes ................................................................................................................... 18
Tableau 2 : Hypothèses ................................................................................................................... 20
Tableau 3 : Impacts......................................................................................................................... 20
Annexe 2 : Liste des éléments essentiels .............................................................................................. 21
Tableau 1 : Fonctions essentiels ...................................................................................................... 21
Tableau 2 : Informations essentiels ................................................................................................. 22
64
Annexe 3 : Liste des entités................................................................................................................. 23

Tableau 1 : Entités Matériel ............................................................................................................ 23
Tableau 2 : Entités Logiciel ............................................................................................................. 24
Tableau 3 : Entités Réseau .......................................................................................................... 24
Tableau 4 : Entités Personnel...................................................................................................... 24
Tableau 5 : Entités Physique (Sites)............................................................................................. 24
Tableau 6 : Entités Organisationnel ............................................................................................ 24
Tableau 7 : Entités Système ........................................................................................................ 24
Annexe 4 : Croisement des éléments essentiels et des entités .............................................................. 25
Annexe 5 : Besoins de sécurité des éléments essentiels ........................................................................ 26
Annexe 6 : Synthèse des besoins de sécurité........................................................................................ 39
Annexe 7 : Synthèse des vulnérabilités de sécurité ............................................................................... 41
Annexe 8 : Formalisation des menaces pesant sur le système-cible ...................................................... 53
Annexe 9 : Formalisation et priorisation des risques de sécurité .......................................................... 54
Annexe 10 : Formalisation des objectifs de sécurité ............................................................................ 55
Annexe 11 : Couverture des risques par les objectifs de sécurité.......................................................... 56
Annexe 12 : Formalisation des mesures de sécurité ............................................................................. 56
Annexe 13 : Couverture des objectifs par les mesures de sécurité ........................................................ 62
Annexe 14 : Couverture des risques par les mesures de sécurité (échantillon) ...................................... 62
Table des matières ................................................................................................................................ 63
Bibliographie ........................................................................................................................................ 67
Annexe 15 : D’après le modèle OrBAC .............................................................................................. 69
Politique de Sécurité du Droit d’Accès à CAMTEL ................................................................................ 69
CHAPITRE I : ENTITES ET ROLES CONSTITUANT LE SI ....................................................... 69
Article 1 : Direction Générale ......................................................................................................... 69
Article 2 : Responsables Métiers...................................................................................................... 69
Article 3 : Utilisateur ....................................................................................................................... 69
Article 4 : Responsables de la Sécurités ........................................................................................... 69
Article 5 : Responsabilités du Correspondant Sécurité Technique (CST) ......................................... 70
Article 6 : Responsabilités du Correspondant Sécurité Métier (CSM) .............................................. 70
CHAPITRE II : REGLES ET PROCEDURES EN MATIERE DE SECURITE DU SYSTEME
D’INFORMATION........................................................................................................................... 70
Article 1 : les responsables de la sécurité des systèmes de CAMTEL ............................................... 70
Article 2 : la responsabilité distribuée .............................................................................................. 71
Article 3 : attribution et libération des droits d’utilisateur ................................................................ 71
Article 4 : identification des utilisateurs ........................................................................................... 71
Article 5 : la confidentialité ............................................................................................................. 71
Article 6 : Authentification et chiffrement des informations sensibles ............................................. 71
65
Article 7 : droits d’accès .................................................................................................................. 72

Article 8 : la disponibilité ................................................................................................................ 72
Article 9 : les logiciels malveillants .................................................................................................. 73
Article 10 : protection des accès ...................................................................................................... 73
Article 11 : les audits et enquêtes ponctuels. .................................................................................... 73
CHAPITRE III : PROGRAMME DE SECURITE D’ACCES .......................................................... 74
Article 1 : ........................................................................................................................................ 74
Article 2 : ........................................................................................................................................ 74
Article 3 : ........................................................................................................................................ 74
Article 4 : ........................................................................................................................................ 74
Article 5 : ........................................................................................................................................ 74
Article 6 : ........................................................................................................................................ 74
Article 7 : ........................................................................................................................................ 74
CHAPITRE IV : OBLIGATIONS GENERALES ............................................................................ 74
Article 1 : ........................................................................................................................................ 74
Article 2 : ........................................................................................................................................ 75
CHAPITRE V DISPOSITIONS EN CAS DE MISSION A L’EXTERIEUR. ................................. 75
Article .1 ......................................................................................................................................... 75
Article.2 .......................................................................................................................................... 75
Article 3. ......................................................................................................................................... 75
Article 4 .......................................................................................................................................... 75
Article 5 .......................................................................................................................................... 75
Article 6 .......................................................................................................................................... 75
Article 7 .......................................................................................................................................... 75
Pendant la mission .......................................................................................................................... 76
Article 1 .......................................................................................................................................... 76
Article2 ........................................................................................................................................... 76
Article 3 .......................................................................................................................................... 76
Article 4 .......................................................................................................................................... 76
Article 5 .......................................................................................................................................... 76
CHAPITRE VI : DISPOSITIONS FINALES ................................................................................... 76
Article 1 : En cas de Menaces ......................................................................................................... 76
66
Bibliographie
- Organigramme de la CAMTEL (Février 2012)
- Base de connaissance EBIOS (PREMIER MINISTRE : Secrétariat général de
la défense et de la sécurité nationale Agence nationale de la sécurité des
systèmes d’information Sous-direction assistance, conseil et expertise Bureau
assistance et conseil)
- METHODES D’AUTHENTIFICATION, par Dr. BELL B. Georges
- MASTERE SPECIALISE EN INFORMATIQUE : Option Réseaux et
Télécommunications, Session 2003-2004. Par WATLAL Yassine
- Politique de Sécurité du Système d’Information de CAMTEL, par Armel
MEBANDE
- AUTORISATION & CONTROLE D’ACCES, par Prof. Jean-Noël Colin
- Politiques et modèles de sécurité ENST-Bretagne, janvier 2007. Par Ludovic
Mé
- ORBAC : un modèle de contrôle d’accès basé sur les organisations, par Anas
Abou El Kalam.
- EBIOS - gestion des risques, par Dr. BELL B. Georges
- Quel audit de Sécurité dans quel contexte ?, par Hervé Morizot, 09 avril 2002.
Expression des Besoins et Identification des Objectifs de Sécurité, Version du
10 novembre 2004, PREMIER MINISTRE. Secrétariat général de la défense
nationale, Direction centrale de la sécurité des systèmes d’information, Sous-
direction des opérations, Bureau conseil
- Manuel technique d’audit
- Modèle d'architecture d'implémentation d'un contrôle d'accès technique à un
réseau d'entreprise, par Elie MABO, consultant.
- Maîtrise des risques Secrétariat général de la défense nationale, Direction
centrale de la sécurité des systèmes d’information, Sous-direction des
opérations, Bureau Conseil
- Contrôle d’accès, par BELL B. Georges.
- Expression des Besoins et Identification des Objectifs de Sécurité, PREMI ER
MINISTRE Secrétariat général de la défense nationale Direction centrale de la
sécurité des systèmes d’information.
67
La Politique de Sécurité
De CAMTEL
THEME : Droit d’Accès
(c) DSIR/CAMTEL 2013
68
Annexe 15 : D’après le modèle OrBAC
Politique de Sécurité du Droit d’Accès à CAMTEL
CHAPITRE I : ENTITES ET ROLES CONSTITUANT LE SI
Article 1 : Direction Générale
Alinéa 1 : La Direction Générale est le moteur du Programme de Sécurité.

Alinéa 2 : La Direction Générale valide la politique de sécurité, le programme de
sécurité et les projets induits.
Article 2 : Responsables Métiers
Alinéa 1 : Un responsable Métier est un acteur participant ou favorisant la mise en

place du programme de sécurité.
Alinéa 2 : Les Responsables Métiers ont pleinement connaissance du programme
de sécurité.
Alinéa 3 : Les Responsables Métiers mettent leur position hiérarchique au service
du programme de sécurité.
Article 3 : Utilisateur
Alinéa 1 : Un utilisateur est un employé, un contractuel, un prestataire et plus

généralement toute personne utilisant une ressource du système informationnel ou
physique de l’entreprise.
Alinéa 2 : L’utilisateur doit se conformer aux règles de sécurité, quelle que soit son
action (création, modification, traitement, utilisation d’information, de ressources ou
d’emplois de l’infrastructure).
Alinéa 3 : L’utilisateur doit être sensibilisé et formé aux règles de sécurité. Il doit
avoir connaissance de ses droits et devoirs.
Article 4 : Responsables de la Sécurités
Alinéa 1 : Le Conseillé Technique N°3 et le Service Sécurité de la Direction des

Infrastructure sont responsables de la sécurisation des processus et des transactions de
l’entreprise, de la définition de standards pertinents et de l’application d’un programme de
sécurité évolutif.
69
Alinéa 2 : Le Service Sécurité a à sa tête un Responsable (RSS) est responsable du

programme de sensibilisation, de l’explication des actions de sécurité et de la distribution
des responsabilités, comme défini dans le programme de sécurité de l’entreprise.
Article 5 : Responsabilités du Correspondant Sécurité Technique (CST)
Alinéa 1 : Le CST s’assure que l’ensemble des nouveaux projets intègrent une
composante de sécurité et que les opérations de maintenance et d’évolution des systèmes
techniques se font en cohérence avec les exigences de sécurité.
Alinéa 2 : Le CST sensibilise, conseille et propose des solutions aux
problématiques de sécurité, directement ou en collaboration avec le RSS.
Article 6 : Responsabilités du Correspondant Sécurité Métier (CSM)
Alinéa 1 : Le CSM s’assure que l’ensemble des nouveaux projets intègrent une
composante de sécurité et que les opérations de maintenance et d’évolution des processus
métier se font en cohérence avec les exigences sécurité.
Alinéa 2 : Le CSM sensibilise, conseille et propose des solutions aux
problématiques de sécurité, directement ou en collaboration avec le RSS.
Alinéa 3 : Le CSM aide les Chefs de Projets à intégrer la composante sécurité de
l’initialisation aux phases finales des projets.
Alinéa 4 : Le CSM se tient au courant des évolutions du programme de sécurité en
liaison avec les CST impliqués lorsque cela est nécessaire.
CHAPITRE II : REGLES ET PROCEDURES EN MATIERE DE

SECURITE DU SYSTEME D’INFORMATION
Article 1 : les responsables de la sécurité des systèmes de CAMTEL
Le Directeur en charge du système d’information (DSIR) est le principal

responsable de la politique de sécurité du système d’information de CAMTEL.
Le Directeur en charge des Infrastructures (DI) est le principal responsable de la
politique de sécurité Infrastructurelle de CAMTEL.
Le Conseillé Technique N°3 au près du Directeur Général (CT3) et le Directeur
de la Logistique sont les principaux responsables de la politique de sécurité d’accès
physique aux sites, infrastructures et au patrimoine de l’entreprise.
Ils assurent leurs missions respectives sous la supervision du Comité de pilotage et
du management de la sécurité (CPM) des ressources et communications électroniques
institué par Décision 337/DG du 29 Juin 2012.
70
Article 2 : la responsabilité distribuée
Les chefs hiérarchiques des autres structures de CAMTEL intervenant en matière

de sécurité, sont responsables de la PSS de leurs unités. Dans leurs activités, ils sont liés à
leur devoir de réserve et à l’obligation de secret professionnel.
Article 3 : attribution et libération des droits d’utilisateur
La mise à disposition d’un utilisateur d’outils de travail (bureau, poste de travail,

ordinateur, application, etc) doit être formalisée à l’arrivée, au changement de fonction
et/ou départ de l’intéressé, qu’il soit personnel permanent ou non, lequel est astreint au
devoir de réserve et l’obligation de secret professionnel.
Article 4 : identification des utilisateurs
Tout utilisateur ayant accès aux ressources physiques ou logique doit être
formellement identifié et authentifié et son profil devra correspondre aux droits
strictement nécessaires pour l’accomplissement des tâches qui lui sont confiées.
Article 5 : la confidentialité
Alinéa 1 : Les moyens matériel ou logiciel et les données du patrimoine de

CAMTEL sont l’objet de classification en « Confidentiel », « Restreint » et « Non
classifié » ;
Alinéa 2 : Les données « confidentiel » sont hautement sensibles, leur divulgation
pourrait nuire gravement au fonctionnement actuel et futur de la société. Le stockage
et/ou la transmission de telles informations à des personnes non autorisés sont
strictement interdites.
Alinéa 3 : Les données classées « restreintes » sont les données de sensibilité
moyenne dont la divulgation pourrait porter un préjudice et/ou des pertes financières à la
société. Leur diffusion est réservée aux personnes habilitées.
Alinéa 4 : Les données non visées par les alinéas 2 et 3 ci-dessus sont « Non
classifiées ». Leur diffusion est réservée uniquement au personnel de CAMTEL.
Article 6 : Authentification et chiffrement des informations sensibles
Alinéa 1 : L’accès à une information ou donnée sensible est strictement contrôlé à

travers une identification et une authentification. En cas de déchéance d’un utilisateur, le
système doit conserver pendant au moins dix (10) ans, les traces de toutes les actions
majeurs et objets créés par cet utilisateur.
Alinéa 2 : Toute information sensible circulant sur un réseau externe doit être
chiffrée conformément aux normes en vigueur.
Alinéa 3 : Tout support (disquette, clé USB, CD/DVD, disques durs, ordinateurs
portables, téléphones) contenant des données sensibles, transporté à l’extérieur doit faire
71
l’objet de mesures de protection contre vol ou alors, les informations doivent être
chiffrées.
Alinéa 4 : Le stockage chez un prestataire externe de données sensibles est
interdit, sauf disposition contractuelle de protection ou chiffrement des données.
Alinéa 5 : Le chiffrement ou cryptage constitue un moyen de protection des
données. La longueur de la clé de chiffrement doit être au moins égale à 128 bits.
Alinéa 6 : Avant tout envoi en réparation, cession ou mise au rébus d’un matériel,
toutes les données sensibles contenues dans ce matériel devront être effacées de façon
irréversible. En cas d’échec, les supports de stockage doivent être démontés et détruits.
Article 7 : droits d’accès
Alinéa 1 : Les utilisateurs sont tenus de veiller à la sécurisation de leur poste de

travail, bureau, site d’affectation ou de moyens nomades mis à leur disposition ou de leur
ordinateur personnel. L’accès aux postes de travail, bureaux, sites ou des moyens
nomades doit être protégé par un mot de passe robuste ou un moyen d’accès physique
restreint qui est une donnée personnelle confidentielle, ne devant en aucun cas être
divulgué ou communiqué à des tiers.
Alinéa 2 : La sortie et l’utilisation à l’extérieur de tout moyen informatique ou
physique sont subordonnées à l’obtention d’une autorisation écrite du chef de l’unité de
rattachement de cet équipement.
Alinéa 3 : L’accès au système d’information et aux sites CAMTEL est journalisé et
exige une identification et une authentification.
N.B : L’utilisation des comptes partagés ou anonymes est interdite.
Alinéa 4 : L’attribution et la modification des accès des accès et des droits

accordés à un utilisateur tiennent compte de son rôle dans la société et sont validées par le
responsable de l‘unité.
Alinéa 5 : Les règles d’accès aux sites hébergeant les équipements du système
d’information sont identiques à celles requises pour l’accès aux informations, aux
applications, au matériel et infrastructures de CAMTEL. Un historique journalier des
accès doit être tenu et conservé pendant au moins 10 ans.
Article 8 : la disponibilité
Alinéa 1 : Les sites destinés à accueillir les équipements nécessaires au système

d’information et infrastructurel doivent faire l’objet d’un aménagement adéquat
remplissant les conditions requises de disponibilité redondée d’énergie régulée, de
température et d’aération.
Alinéa 2 : Un bilan calorifique et d’énergie doit être effectué avant toute
installation et soumis à l’appréciation du responsable en charge de la ressource.
Alinéa 3 : Les équipements de gestion du système d’information devront obéir
strictement aux recommandations des standards de télécommunication en termes de
performance et de disponibilité. Ils devront être dotés au moins d’un système de tolérance
de panne physique ou logique (RAID de Niveau N), d’un système de mise en cluster sur
72
baies SAN, d’un système de duplication active ou passive et d’une solution de réplication
distante.
Alinéa 4 : Un système d’archivage et sauvegarde régulier devra être mis en place
pour garantir la disponibilité continue des informations et des données du patrimoine
informationnel et infrastructurel (Documentation) de CAMTEL.
Article 9 : les logiciels malveillants
Alinéa 1 : L’installation des logiciels à risque ou piratés ou tout autre programme

particulier, non indispensable est formellement interdite dans les serveurs hébergeant une
partie du patrimoine informationnel de l’entreprise.
Alinéa 2 : Tout agent reconnu coupable de violation de cette disposition devra
répondre individuellement des conséquences financières et juridiques en cas d’atteinte à la
sécurité du système d’information.
Article 10 : protection des accès

Alinéa 1 : Les accès logique au système d’information doivent être
systématiquement protégés par les outils de sécurité logique notamment, les systèmes
pare-feu, les systèmes de détection d’intrusions, les antivirus, les outils de filtrage de
contenu, les serveurs de certificats, les systèmes de traçabilité.
Alinéa 2 : Les accès physique aux sites CAMTEL doivent être systématiquement
protégés par les outils de sécurité physique notamment, les systèmes à carte magnétique,
les systèmes biométrique, les caméras, le filtrage des personne à l’entrée des sites
CAMTEL, les méthodes documentée de traçabilité.
Alinéa 3 : Le déploiement et le positionnement de ces outils de sécurité dans le
réseau des communications électroniques et dans les sites CAMTEL doit obéir à la
stratégie de sécurité en vigueur.
Alinéa 4 : Le système d’information et les sites CAMTEL doivent être protégés de
l’extérieur à l’aide de filtres d’accès logique et physique, respectivement appliqués sur les
équipements en tête de réseau et les entrées ou portails des sites. Le réseau interne et les
sites doivent être cloisonnés afin d’isoler les différents services et usages afin de limiter
l’impact des incidents.
Article 11 : les audits et enquêtes ponctuels.

Alinéa 1 : Des audits périodiques des règles de sécurité doivent être effectués afin
de tester la vulnérabilité du système et/ou éléments du système et éventuellement
proposer leur adaptation à l’évolution de la réglementation sur la cybercriminalité et les
avancées technologiques en la matière, ainsi que les nouvelles méthodes d’exécution des
« hors la lois ».
Alinéa 2 : Des audits ou enquêtes ponctuels peuvent également être effectués en
cas de forte présomption de menaces graves ou tentative d’intrusion dans le système
d’information ou les sites CAMTEL. Les rapports d’audits ou d’enquêtes programmés ou
non doivent respectivement être adressés sans délai au responsable de la SSI et/ou DI
(Direction des Infrastructure) de l’entreprise.
73
CHAPITRE III : PROGRAMME DE SECURITE D’ACCES
Article 1 :
Toute politique de contrôle d’accès doit être mise en place sur la base des
exigences d’exploitation et de sécurité.
Article 2 :
L’attribution des paramètres d’authentifications devra être réalisée dans le cadre
d’un processus formel.
Article 3 :
Les droits d’accès utilisateurs devront être réexaminés par la Direction à intervalles
réguliers.
Article 4 :
Tout utilisateur n’aura uniquement accès aux services pour lesquels il est
spécifiquement autorisé.
Article 5 :
Alinéa 1 : L’accès des utilisateurs distants sera effectué par des méthodes
d’authentification appropriées.
Alinéa 2 : un contrôle de l’accès physique et logique des ports de connexions sera
effectué afin de prévenir une éventuelle connexion non désirable.
Article 6 :
Toute session inactive serra déconnectée après une période d’inactivité de 2 ans.
Article 7 :
L’accès aux informations, aux sites et aux fonctions applicatives par tout utilisateur
et personnel chargé de l’assistance technique, sera restreint conformément à la politique
de contrôle d’accès du présent document.
CHAPITRE IV : OBLIGATIONS GENERALES
Article 1 :
Tout employé ou collaborateur de l’entreprise doit se conformer aux exigences du
programme de sécurité et aux standards et procédures qui en résultent.
74
Article 2 :
Aucune exception n’est autorisée sans une implication et une justification motivée
du Management.
CHAPITRE V DISPOSITIONS EN CAS DE MISSION A

L’EXTERIEUR.
Article .1
Avant de vous déplacer relisez attentivement et respectez les règles de sécurité
édictées par CAMTEL.
Article.2
Prenez connaissance de la législation locale
Article 3.
Utilisez de préférence le matériel dédié aux missions. (Ordinateur, téléphone,
supports amovibles, véhicules etc.) ; Ce matériel ne doit contenir autres informations que
celles dont vous avez besoin pour la mission.
Article 4
Sauvegardez les données que vous emportez ainsi vous pourrez récupérer vos
données dès le retour de la mission, et entretenez les moyens physiques acquis pour la
mission.
Article 5
Evitez de partir avec vos données sensibles ou un équipement désuet.
Article 6
Emportez un filtre écran pour votre ordinateur si vous comptez profiter des trajets
pour travailler vos dossiers afin d’éviter que les curieux lisent vos documents par-dessus
vos épaules. Aussi il est recommander d’être accompagner de personnels qualifiés pour
chaque tache spécifique de la mission (chauffeur, mécanicien, électricien, informaticien,
etc).
Article 7
Mettez un signe distinctif sur vos appareils et équipement.
75
Pendant la mission
Article 1
Gardez vos appareils, supports avec vous.
Article2
Si vous êtes contraints de vous séparez de vos équipements, retirer et conserver
avec la carte SIM pour les informations et dans un site CAMTEL sécurisé pour les
équipements.
Article 3
Utilisez un logiciel de chiffrement pendant le voyage.
Article 4
Pensez à effacer l’historique de vos appels ou de vos navigations.
Article 5
En cas d’inspection ou de saisie par les autorités informez la direction concernée.
CHAPITRE VI : DISPOSITIONS FINALES
Article 1 : En cas de Menaces

Alinéa 1 : En cas d’attaque ou de menaces crédibles contre le système
d’information ou infrastructurel, l’application des actions ci-dessous est prescrite :
- Isoler la ressource informatique ou physiques source de l’attaque ou de la
menace d’attaque identifiée ;
- Diagnostiquer les causes probables et faire certifier par le responsable en
charge;
- Mettre en application le plan de reprise sur sinistre après assurance du contrôle
ou de l’évacuation du péril ;
- Réévaluer la politique sécuritaire, établir les responsabilités et dresser un
rapport circonstancié.
Alinéa 2 : Toute tentative de dissimulation des causes réelles du sinistre est
considérée comme atteinte à la sécurité et au patrimoine CAMTEL et sanctionnée
conformément à la réglementation en vigueur.
Alinéa 3 : Les vols d’ordinateurs, de supports de données ou d’équipements et
infrastructure, ainsi que des actes de vandalisme sont considérés comme atteinte à la
sécurité et au patrimoine CAMTEL.
76

Audit de Securite Des S I Politique Du D

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Audit de Securite Des S I Politique Du D

Transféré par

Droits d'auteur :

Formats disponibles

REPUBLIQUE DU CAMEROUN REPUBLIC OF CAMEROON

Audit de sécurité des S.I

THEME : Politique du Droit d’Accès

Pour l’obtention du MASTER 2 en Science pour l’Ingénieur. Option : Informatique ;

Dr. BELL BITJOKA Georges ING. Armel MEBANDE

Année académique 2012 - 2013

Bref, c’est ma police d’assurance vie, Amen.

D'abord je tiens à exprimer mes plus vifs remerciements à mes encadreurs,

Je voudrais également exprimer mes sincères remerciements à ma famille,

S.I: Système d'Information

MOTS CLES : Infrastructures Critiques, KEYWORDS: Critical Infrastructure,

Introduction Générale .................................................................................................................................. IV

ETUDE DU SYSTEME D’INFORMATION DE LA CAMTEL AVEC LA DEMARCHE EBIOS .. 7

Table des matières ..................................................................................................................................... 63

Annexe 15 : D’après le modèle OrBAC ................................................................................................... 69

Le socle de la sécurité des systèmes d'information est la PSSI.

Plans locaux de mise en œuvre

Evaluation – retour d’expérience

Les méthodologies de sécurité

MELISA est une méthode d'analyse de vulnérabilités qui gère la Confidentialité

MEHARI définit un plan de sécurité (mesures, règles, modes de présentation,

Dans notre travail et suivant les recommandations du responsable de la sécurité à

1. Le Cadre de la gestion des risques

Activité 1.1 – Définir le cadre R R R R 2 2

Activité 1.2 – Préparer les I C I I I Vérifier la 2 5

Activité 2.1 – Apprécier les A R C C C Utiliser les bases 6 20

Activité 3.1 – Apprécier les A R C C C Utiliser les bases 6 40

Activité 4.1 – Apprécier les A R C C C Cartographie 1 20

Activité 4.2 – Identifier les A R C C C Note de 2 15

Activité 5.2 – Mettre en A R I I I Homologation Cette activité ne 0 0

Légende : A : Approbation ; R : Réalisation ; C : Consultation ; I : Information

3. L’organisme étudié : LA CAMTEL

sont les ressources concernées par le traitement des processus ?

5. Le contexte législatif et réglementaire :

7. Les contraintes, hypothèses et impacts

(Voir Tableau 1, 2,3 - Annexe 1)

8. Liste des éléments essentiels

9. Liste des entités

10. Matrice de croisement des éléments essentiels et des entités

MODULE 2 : LES BESOINS DE SECURITE

1. Les critères de sécurité

2. Synthèse des besoins de sécurité

b. Protection des données

La protection des données sensibles suppose l’identification préalable de ces

3. Synthèse des vulnérabilités liées aux éléments essentiels

MODULE 3 : LES MENACES ET RISQUES DE SECURITE

2. Les risques et objectifs de sécurité

Inversement des éléments tels que la négligence, l’insuffisance de formation ou

3. Les objectifs de sécurité

Ris\Obj Obj01 Obj02 Obj03 Obj04

MODULE 4 : LES MESURES DE SECURITE

1. Formalisation des mesures de sécurité

2. Couverture des objectifs par les mesures de sécurité

a. Pour qu'un risque soit évité

b. Pour qu'un risque soit transféré

services ou des individus certifiés, contractualiser des clauses de transfert de

c. Pour qu'un risque soit réduit

(Voir Annexe 12)

3. Couverture des risques par les mesures de sécurité

Le tableau suivant présente la liste des mesures de sécurité destinées à réduire ou

(Voir Annexe 13)

4. Analyse des risques résiduels

 Risque lié à l’altération des devis et cahier de charge

Gravité 3. Négligeable 2. importante 1. Critique