Académique Documents
Professionnel Documents
Culture Documents
------------------------------ ------------------------------
PAIX – TRAVAIL - PATRIE PEACE – WORK - FATHERLAND
---------------------------- ------------------------------
Rédigé Par :
NKOUMOU ZE Joseph Christian
(Ingénieur des Travaux Informatique: Réseaux Télécom)
ENCADREURS
Académique Professionnel
Je dédis le présent travail à l’Esprit Saint qui m’assiste dans toutes mes entreprises ;
en effet il inspire, contribue et c’est lui enfin qui autorise tout aboutissement.
Car il est dit que « le consolateur, l'Esprit-Saint, que le Père enverra au nom de Jésus,
nous enseignera toutes choses, et nous rappellera tout ce que il nous a dit. »
Merci à tous ceux qui ont contribué de près ou de loin, à la réalisation de ce travail.
Glossaire
Conclusion générale.................................................................................................................................. 17
ANNEXES
Annexe 1 : Les contraintes, hypothèses et impacts ................................................................................... 18
Annexe 2 : Liste des éléments essentiels ................................................................................................... 21
Annexe 3 : Liste des entités ...................................................................................................................... 23
Annexe 4 : Croisement des éléments essentiels et des entités ................................................................... 25
Annexe 5 : Besoins de sécurité des éléments essentiels ............................................................................. 26
Annexe 6 : Synthèse des besoins de sécurité............................................................................................. 39
Annexe 7 : Synthèse des vulnérabilités de sécurité .................................................................................... 41
Annexe 8 : Formalisation des menaces pesant sur le système-cible ........................................................... 53
Annexe 9 : Formalisation et priorisation des risques de sécurité ............................................................... 54
Annexe 10 : Formalisation des objectifs de sécurité ................................................................................. 55
Annexe 11 : Couverture des risques par les objectifs de sécurité ............................................................... 56
Annexe 12 : Formalisation des mesures de sécurité .................................................................................. 56
Annexe 13 : Couverture des objectifs par les mesures de sécurité ............................................................. 62
Annexe 14 : Couverture des risques par les mesures de sécurité (échantillon) ........................................... 62
Bibliographie ............................................................................................................................................. 67
La PSSI
Elle s'inscrit nécessairement sur le long terme. Elle est conforme aux dispositions
législatives et réglementaires et est cohérente avec les politiques et directives de niveau
supérieur (ministérielles et interministérielles) ; elle se doit également d'être cohérente avec
les politiques de sécurité des organismes partenaires. Elle est une explicitation des
dispositions de mise en ouvre, au travers d'un Schéma Directeur de la Sécurité des Système
d'Information et/ou d'un plan d'action de Sécurité des Système d'Information au niveau des
unités et des services , par la définition d'une Politique de Sécurité de Système d'Information
d'unité tenant compte des particularités propres à chaque unité ou chaque service et, pour ce
qui est des unités mixtes, intégrant les orientations des autres tutelles.
Schéma de déclinaison de la PSSI de CAMTEL
Etat des Lieux
Politique SSI
Politique et
Schémas Dispositions de mise en œuvre
Directeurs Schéma directeur, Projets
Des partenaires
CAPSEC
Evaluation
PSSI d’unités Retour d’expérience
(CAPSEC (Comment Adapter une Politique de Sécurité pour les Entités de CAMTEL) : méthodologie d’analyse de risques permettant à
chaque direction de conduire une analyse de ses risques et de formuler des recommandations adaptées au contexte de la direction).
EBIOS est une méthode d’analyse des risques en SSI, appliqué aux Systèmes à
concevoir ou existants. Elle détermine les actions de sécurités qu’il convient d’entreprendre.
En entrée, on a un récapitulatif des Besoins du système et en sortie, on retrouvera les
Objectifs de sécurité et l'élaboration de l'architecture fonctionnelle sécurisée.
6
ETUDE DU SYSTEME D’INFORMATION DE LA CAMTEL
AVEC LA DEMARCHE EBIOS
7
MODULE 1 : ETUDE DU CONTEXTE
Activités d'EBIOS
Document à
Infrastructure
estimé en h/j
Directeur SI
particulières
Ressources
Durée en J
Logistique
Consignes
Directeur
Directeur
Directeur
produire
générale
d’Audit
Comité
1
Activité 5.1 – Formaliser les C R C C C Politique de 8 10
mesures de sécurité à mettre sécurité de
en œuvre l'information
2
Audit de la sécurité des systèmes d’information de la CAMTEL
6. Le périmètre de l’étude
La sécurité des systèmes d’information de CAMTEL doit
nécessairement couvrir l’ensemble des systèmes d’information de l’organisme avec
toute la diversité que cela implique dans les usages, les lieux d’utilisation, les méthodes
d’accès, les personnes concernées. C’est ainsi que l’existence d’implantations dans les
régions et l’importance des missions régaliennes lui confère également une dimension
nationale.
Le périmètre de la SSI est donc très large.
Ce périmètre englobe les sept directions, les délégations, et les représentations
régionales. Tout ce système d’information interconnecté par le biais d’un large réseau à
Fibre Optique:
Cependant la cible restreinte de notre étude est constituée de :
- la Direction des Systèmes d’Information et des Réseaux IP (DSIR),
- la Direction des Infrastructures (DI),
- la Direction des Approvisionnements et de la Logistique (DAL).
Toutefois une transposition de cette politique à toutes les autres directions sera
faite par les responsables de la DISR. Il inclut les unités mixtes dépendant de CAMTEL et
d’autres tutelles. L’infrastructure étant en de nombreux endroits partagée avec d’autres
organismes (FAI, partenaires, ministères, entreprise, universités, …), du personnel non
CAMTEL est amené à travailler sur les systèmes d’information de CAMTEL. Tous ces
paramètres sont également à prendre en compte, dans le périmètre de la SSI, les
équipements de l’entité ou ceux gérés par le service informatique d’une tutelle, sur lesquels
s’exécutent les fonctions essentielles comme la communication (serveur de messagerie,
machines internes cibles de connexion depuis l'extérieur), la gestion financière et
comptable (serveur LNG), la publication (serveur web, serveur d’impression), le
stockage, le traitement et l’interprétation des données (serveur de fichiers,
pilotage/contrôle de manipulations).
Par ailleurs, du fait de l’évolution des technologies, certains systèmes
(téléphonie, visioconférence, photocopieur, vidéosurveillance), traditionnellement en
dehors du champ de l’informatique, font désormais partie du périmètre.
La SSI de CAMTEL intègre également les prestations externes telles que
l’hébergement de serveurs client et la sous-traitance dans leur incidence sur la sécurité
interne des systèmes d’information.
2
Audit de la sécurité des systèmes d’information de la CAMTEL
Les usages liés à la mobilité (ordinateurs portables, connexions sans fil, assistants
personnels, téléphones portables…) sont également à prendre en compte du fait que
ces usages se pratiquent généralement en milieu non protégé. L’utilisation d’un moyen
informatique privé ou extérieur fait entrer l’équipement dans les ressources
informatiques de l’unité et comme tel dans le périmètre de la SSI.
Notre travail sera plus basé sur le contrôle d'accès. Ce contrôle s'effectuera à trois
niveaux à savoir :
-le contrôle d'accès physique
-le contrôle d'accès applicatif ou logique
-l'authentification des employés et utilisateurs
Tout au long de notre étude, nous allons concevoir une modélisation basée sur
l’étude EBIOS et qui fera ressortir les éléments essentiels et les liens entre les différentes entités.
Nous pourrons donc au final répertorier et évaluer les risques, identifier les éventuelles
menaces et attaques en vue de proposer des mesures adéquates et mettre en place une politique de
sécurité qui cadre avec les besoins de la CAMTEL et son plan d'action:
Améliorer l’avantage concurrentiel de la CAMTEL par rapport aux autres acteurs
sur le marché des télécommunications;
Garantir la disponibilité, l’intégrité et la confidentialité des données et autres
éléments indispensables au bon fonctionnement de la société ;
Améliorer et sécuriser les échanges avec les parties prenantes.
3
Audit de la sécurité des systèmes d’information de la CAMTEL
4
Audit de la sécurité des systèmes d’information de la CAMTEL
5
Audit de la sécurité des systèmes d’information de la CAMTEL
La sensibilité des données est appréciée lors d’un inventaire au cours duquel des
questions touchant à « la vie de la donnée » doivent être posées :
- Quel est son type ?
- Où réside-t-elle ?
- Par qui est-elle partagée (« besoin d’en connaître ») ?
- Quelle(s) menace(s) est-elle susceptible de subir ?
c. Protection juridique
La mise en œuvre des systèmes d’information s’inscrit dans un cadre législatif
et réglementaire destiné en particulier à protéger les droits de propriété intellectuelle
et technologique et ceux de la vie privée (fichiers nominatifs). Dans ce cadre, la
responsabilité administrative et pénale de la hiérarchie et des administrateurs
systèmes et réseaux peut être recherchée.
Ainsi, au cours de notre étude, nous avons fait une synthèse des besoins de
sécurité liées aux éléments essentiels.
(Voir Annexe 6)
Eléments essentiels Disponibilité Intégrité Confidentialité Traçabilité
Fonction essentielle 4 3 2 3
Information essentielle 4 2 2 3
6
Audit de la sécurité des systèmes d’information de la CAMTEL
(Voir Annexe 7)
N° de Vul Type de vulnérabilité D I C T
X - - -
Liste des éléments essentiels Niveau
Vulnérabilité: Description
impliqués d’implication
1. Les menaces
La mise à exécution des menaces volontaires ou involontaires, humaines ou
matérielles, internes ou externes peut porter atteinte au SI, aux personnels et à
l’organisme. Il convient de distinguer ce qui relève d’attaques délibérées
(agressions) et ce qui relève de sinistres naturels (incendie, explosion,
inondations…).
Dans le cadre de notre étude de risques, nous avons considéré les menaces comme
la méthode EBIOS le préconise, c’est-à-dire inventorier les menaces en considérant la
probabilité que la menace devienne réalité ; la menace est prise en compte en fonction
des critères suivants :
- Type d'élément menaçant : environnemental, humain, naturel, etc.
- Cause d'élément menaçant : délibérée ou accidentelle
- Potentiel d'attaque : opportunités ou ressources limitées, accidentel et aléatoire,
haut degré d'expertise d'opportunité et de ressources
Un référentiel des menaces est disponible dans EBIOS. Il a été repris et adapté
pour CAMTEL dans le cadre de nos des travaux.
(Voir Annexe 8)
D°
Menaces formalisées Référence
Men
Type Men (réf: Elément essentiel-Vulnérabilité correspondante)
N° Men 2 EE-Vul.
Description de la vulnérabilité correspondante :
Les parades viseront donc à peser sur ces deux facteurs : réduire la probabilité
d’occurrence pour réalisation effective des objectifs de sécurité.
7
Audit de la sécurité des systèmes d’information de la CAMTEL
(Voir Annexe 9)
Pertes Pertes Pertes Pertes Pertes
Risques de sécurité D° Men
Max. D I C T
Type de Ris (réf: N° Men)
N° Ris 4 4 4 4 4 4
Description de la vulnérabilité correspondante :
(Voir Annexe 11 : Couverture des risques par les objectifs de sécurité CAMTEL)
8
Audit de la sécurité des systèmes d’information de la CAMTEL
Cette étape consiste à recenser l'ensemble des mesures de sécurité existantes sur les
éléments essentiels d'ores et déjà prévues. Pour chaque élément identifié, il convient de
s'interroger sur l'existence de mesures de sécurité. Ces mesures peuvent être techniques
ou non techniques (produit de sécurité logique ou physique, configuration particulière,
mesures organisationnelles ou humaines, règles, procédures…). Chaque mesure de
sécurité peut utilement être catégorisée selon la ligne de défense (préventive, protectrice
ou récupératrice) à laquelle elle appartient. Cela facilite alors la détermination des mesures
de sécurité en appliquant une défense en profondeur.
b. Avantage
Permet d'exploiter les référentiels de mesures existants, élaborer des spécifiques
Permet de s'adapter à l'objectif de la gestion des risques et aux livrables attendus
Permet de mesurer l'efficacité des mesures de sécurité (effet)
Permet aux parties prenantes de décider objectivement de la poursuite des actions
Favorise l'implication et la responsabilisation des parties prenantes
Notre étude a récence les mesures à prendre en compte dans le tableau suivant :
(Voir Annexe 12)
Mesures de sécurité
Elément essentiel
N° Mes
Description des Dispositions à prendre.
9
Audit de la sécurité des systèmes d’information de la CAMTEL
Ainsi nous avons obtenu par étude le tableau suivant, qui montre la couverture des
objectifs ci-haut par les mesures de sécurité envisagés.
Ces mesures de sécurité ont été déterminées dans l’objectif de couvrir différents
éléments des risques à traiter (vulnérabilités, menaces, sources de menaces, besoins de
sécurité ou impacts), d’aborder la plupart des thèmes de l’ISO 27002, de couvrir les
différentes lignes de défense (prévention, protection et récupération), et ont été
optimisées élément par élément essentiel.
10
Audit de la sécurité des systèmes d’information de la CAMTEL
11
Audit de la sécurité des systèmes d’information de la CAMTEL
5. Déclaration d’applicabilité
Les contraintes d’applicabilité sont identifiées est explicitées comme suit :
Le plan d'action de LA CAMTEL, trié par terme, avancement et coût financier, est
établi comme suit :
Mesure de sécurité Responsable Difficulté Cout financier Terme Avancement
Mesure du trimestre
Service généraux (courant) Direction générale Faible Trimestre terminé
sécurité câblage Direction générale Faible Trimestre Terminé
12
Audit de la sécurité des systèmes d’information de la CAMTEL
13
Audit de la sécurité des systèmes d’information de la CAMTEL
Cette homologation de sécurité est valable un an et pourra être renouvelée tous les
ans. L’amélioration continue de l'étude de sécurité devra se poursuivre.
En résumé, les données exploitables d’une étude EBIOS aboutissant à une
Politique de Sécurité (PSSI) sont les suivantes :
2. Politique de sécurité
La politique de sécurité est formulée par des mesures de sécurité (annexe 12) et la promulgation
de la PSSI du droit d’accès à CAMTEL (annexe15).
14
Audit de la sécurité des systèmes d’information de la CAMTEL
1. Définition
Le contrôle d’accès peut se définir comme un mécanisme de limitation de
l’utilisation d’une ressource aux seules entités autorisées.
15
Audit de la sécurité des systèmes d’information de la CAMTEL
Il consiste à définir l’organisation, les rôles, les activités, les vues et les contextes ; à
gérer les utilisateurs (sujets), les objets et les actions ; à gérer en fin la politique de sécurité.
La règle est simple : Hiérarchisation (héritage : rôle, vue et activité) ; Séparation de
Privilèges et Cardinalité.
Dans ce modèle un sujet joue un rôle dans une organisation. Ainsi, l’entité Rôle est
utilisée pour structurer le lien entre les sujets et les organisations.
Par exemple l’utilisateur « Pierre » joue le rôle « administrateur » dans l’organisation
« Direction informatique ». Les permissions obtenues par Pierre dépendent ainsi de son
rôle et de l’organisation dans laquelle il l’exerce.
L’exemple précédent peut alors s’écrire de la manière suivante :
Empower (Direction_informatique, Pierre, administrateur)
Dans le modèle Or-Bac, l’entité Object représente principalement les entités non
actives, c’est-à-dire toutes les ressources de l’organisation, comme les fichiers, les courriers
électroniques, les formulaires imprimés, etc.
Une vue correspond, comme dans les bases de données relationnelles, à un
ensemble d’objets qui satisfont une propriété commune.
Les politiques de sécurité spécifient les accès autorisés aux entités passives par des
entités actives et régulent les actions effectuées sur le système. Dans le modèle Or-Bac,
l’entité Action englobe principalement les actions informatiques comme « lire », « écrire »,
« envoyer », etc. De la même manière que les rôles et les vues sont des abstractions des
sujets et des objets, l’entité Activity représente l’abstraction d’une action.
Le modèle Or-Bac permet ainsi d’établir une politique de sécurité abstraite (rôle,
activité, vue) indépendante des choix d’implémentation (sujet, action, objet). Les
permissions concrètes sont alors dérivées des permissions abstraites à l’aide de la règle de
dérivation suivante :
Si:
Permission(o, r, v, a, c) et empower(o, r, s) et consider(o, a, z) et use(o, v, y) et hold(o, s, z, y, c)
Alors:
is_permitted(s, z, y).
(Lire : o: organisation, r: rôle, v: vue, a: activité, c: contexte, s: sujet, y: objet, z: action.)
16
Audit de la sécurité des systèmes d’information de la CAMTEL
Conclusion générale
En raison de ses vulnérabilités physiques et logiques, l’infrastructure et le système
d’information de CAMTEL peuvent subir des défaillances, et en raison des
interdépendances entre ses différents secteurs d’activités, de simples défaillances peuvent
avoir des conséquences dramatiques sur l’ensemble des infrastructures critiques. Dans ce
mémoire, nous nous sommes intéressés principalement aux systèmes d’information de
trois directions particulier ; c’est-à-dire l’infrastructure d’information (Direction des
Infrastructures), la Direction du Système d’Information et la Direction la Logistique et
des Approvisionnements. Nous avons ainsi proposé une approche pour répondre aux
problèmes de sécurité que rencontre CAMTEL dans ces trois compartiments, plus
particulièrement, ceux liés au contrôle d'accès. Le but étant bien sûr d’offrir à chaque
direction la possibilité de collaborer avec les autres, tout en maintenant un contrôle sur
ses données et sa politique de sécurité interne. Nous avons modélisé sur OrBAC, une
Politique de contrôle. Nous avons également conçu des mécanismes de vérification des
interactions et des mécanismes d’évolutivité des procédures de sécurité.
Perspectives
Nous ne pouvons clôturer ce travail sans signaler que beaucoup d’exigences nécessaires
pour l’atteinte des objectifs de sécurité de CAMTEL ne sont pas totalement satisfaites par
notre étude, mais abordées pour donner un tremplin à une études qui se veut évolutive
(exemple : Prise en compte de la notion de disponibilité, Prise en compte de la notion
d’intégrité, Déploiement et test des démonstrateurs sur le réseau existant, etc.).
17
Audit de la sécurité des systèmes d’information de la CAMTEL
Annexes
Con01 Elles concernent les administrations de l'État et les établissements publics comme CAMTEL qui se
doivent d'appliquer les décisions gouvernementales. En effet, il s'agit de décisions d'orientation
stratégique ou opérationnelle, émanant de l'instance politique de l'Etat et qui doivent être appliquées.
Le fonctionnement de l'entreprise peut être profondément modifié par des situations particulières telles
Con04 que des grèves, des crises nationales ou internationales ;
C'est alors que, la continuité de certains services doit pouvoir être assurée même en période de crise
grave. Tiers, ...
contraintes fonctionnelles
Con05 Elles sont issues des missions générales ou spécifiques de l'organisme ;
Du fait de la dépendance des autres opérateurs, CAMTEL a une mission de permanence qui exige une
disponibilité maximale de ses moyens techniques.
contraintes relatives au personnel
Con06 Celles-ci sont relatives au personnel, étant de natures très diverses et liées au niveau de responsabilité,
recrutement, qualification, formation, sensibilisation à la sécurité, motivation, disponibilité.
contraintes d'ordre calendaire
elles résultent de la réorganisation des services, de la
Con07 mise en place de nouvelles politiques nationales ou internationales qui vont imposer des échéances à date
fixe ;
à l'exemple de la création d'une direction ou d'un service spécial.
contraintes relatives aux méthodes
Compte tenu des savoir-faire internes à l'organisme, certaines méthodes (au niveau de la planification du
Con08 projet, des spécifications, du développement.) seront imposées dans le sens de la politique de de sécurité
qui serra adoptée;
La contrainte pourra être, par exemple, de devoir associer la politique de sécurité aux actions
relatives à la qualité des ressources physiques et du patrimoine de l'entreprise.
18
Audit de la sécurité des systèmes d’information de la CAMTEL
Les mesures de sécurité préconisées ont un coût qui peut, dans certains cas, être très important. Si les
investissements dans le domaine un domaine de l'entreprise de l'Etat ne peuvent s'appuyer sur des
critères de rentabilité, une justification économique est généralement exigée par les services du Control
Supérieur de l'Etat;
Donc, pour certains organismes publics comme CAMTEL, le coût total des mesures de sécurité ne doit
pas être supérieur aux conséquences des risques redoutés. La Sous-direction de la Sécurité des SI de
CAMTEL doit donc apprécier et prendre des risques calculés si elle veut éviter un coût prohibitif pour la
sécurité.
contraintes d'antériorité
Tous les projets de politique de sécurité ne peuvent pas être développés simultanément. Certaines sont
Con10 dépendantes des définitions préalables. Une politique de sécurité peut faire
l'objet d'une décomposition en sous-politiques ; une politique n'est pas forcément conditionnée
par la totalité des sous-politiques ou d'une autre politique.
contraintes techniques
Elles proviennent:
- des fichiers (exigences en matière de gestion des supports électroniques, de gestion des règles d'accès
aux ressources électroniques.),
- de l'architecture générale (exigences en matière de topologie, centralisée, de type client-serveur, et
d'architecture physique.),
- des logiciels applicatifs (exigences en matière de conception des logiciels spécifiques, de standards du
Con11 marché.),
- des progiciels (exigences de standards, de niveau d'évaluation, qualité, conformité aux normes,
sécurité.),
- des matériels (exigences en matière de standards, qualité, conformité aux normes.),
- des réseaux de communication (exigences en matière de couverture, de standards, de capacité, de
fiabilité.),
- des infrastructures immobilières (exigences en matière de génie civil,
construction des bâtiments, courants forts, courants faibles.).
contraintes financières
Con12 La mise en place de mesures de sécurité sera limitée par le budget que CAMTEL peut y consacrer,
néanmoins la contrainte financière est à négociée en
fonction de l'étude de sécurité qui est en cours;
contraintes organisationnelles
19
Audit de la sécurité des systèmes d’information de la CAMTEL
Tableau 2 : Hypothèses
Hypothèses
relatives au personnel
o le personnel est utilisateur de l'informatique, plus ou moins spécialiste,
Hyp01 o le responsable de la sécurité informatique est sous-directeur, il est sécurité de formation,
o le personnel de nettoyage intervient de 6h30 à 7h45,
o la réception des clients se fait dans les bureaux des commerciaux, mais des visites ont parfois lieu dans
les bureaux des techniciens, des Directeurs et sous-directeurs ;
d'ordre calendaire
Hyp02 o la période de pointe se situant en général lors des grandes fêtes annuelles, toute action (installation de
système de sécurité, formation et sensibilisation) se fera en dehors de cette période ;
d'ordre budgétaire
Hyp03 La société a fait un effort important en matière d'informatisation, tout investissement supplémentaire
devra être dûment justifié ;
d'ordre technique
Hyp04 o les règles d'identification logiciel doivent être respectées,
o des logiciels professionnels du domaine de l'authentification doivent être employés ; ;
d'environnement
Hyp05 o La Direction Générale occupe un immeuble de 16 étages au centre ville,
o La Direction Générale est sur l'axe principale du parcours présidentiel, le boulevard
o aucun déménagement n'est planifié.sur l'heure.
Tableau 3 : Impacts
Impacts
Perte de crédibilité vis à vis des clients
Imp01 Perte de confiance et expression d'infidélité de la part des clients et des partenaires:
- pas de facilité à cause des lenteurs administratives.
- pas de qualité de service adéquat
Perte du chiffre d'affaire
Imp02
Procès à l'encontre de la société
Perte de partenaires
Imp04
Perte de souveraineté
Imp05 En tant que leadeur incontesté et incontournable dans le domaine des Télécommunications au
Cameroun
Incapacité de fournir les services et offres
Imp08
pour lenteurs dans les traitements et suivie approximative des dossiers
Dépôt de bilan
Imp07
Nuisances
Imp06 - pour pollution de l'environnement,
- pour non respect des règles d'hygiène,
- pour mauvais entretien de l'infrastructure ou acte de manipulation non entrevu.
20
Audit de la sécurité des systèmes d’information de la CAMTEL
21
Audit de la sécurité des systèmes d’information de la CAMTEL
les utilisateurs étant beaucoup plus le personnel CAMTEL qui utilise en majorité les softwares développé par
CAMTEL
F13 Formation du personnel
en relation avec les structures concernées
F14 Réseaux d'entreprise
22
Audit de la sécurité des systèmes d’information de la CAMTEL
23
Audit de la sécurité des systèmes d’information de la CAMTEL
24
Audit de la sécurité des systèmes d’information de la CAMTEL
26
Audit de la sécurité des systèmes d’information de la CAMTEL
Confidentialité
Perte de crédibilité vis à vis des clients
Procès à l'encontre de la société
Perte de partenaires
Impacts
Perte de souveraineté
Impossibilité de remplir les obligations légales
Perte de la maitrise du système d'information
Traçabilité
Procès à l'encontre de la société
Impacts Nuisances
Perte de la maitrise du système d'information
27
Audit de la sécurité des systèmes d’information de la CAMTEL
28
Audit de la sécurité des systèmes d’information de la CAMTEL
29
Audit de la sécurité des systèmes d’information de la CAMTEL
Confidentialité
Incapacité de fournir les services et offres
Impacts
Perte de la maitrise du système d'information
Traçabilité
Impacts Perte de la maitrise du système d'information
30
Audit de la sécurité des systèmes d’information de la CAMTEL
31
Audit de la sécurité des systèmes d’information de la CAMTEL
32
Audit de la sécurité des systèmes d’information de la CAMTEL
33
Audit de la sécurité des systèmes d’information de la CAMTEL
34
Audit de la sécurité des systèmes d’information de la CAMTEL
Intégrité
Perte de crédibilité vis à vis des clients
Procès à l'encontre de la société
Perte de partenaires
Perte de souveraineté
Impacts
Incapacité de fournir les services et offres
Impossibilité de remplir les obligations légales
Perte de la maitrise du système d'information
Manque de performance des réseaux IP
Confidentialité
Perte de souveraineté
Impacts
Perte de la maitrise du système d'information
Traçabilité
Impacts Manque de performance des réseaux IP
Intégrité
Perte de la maitrise du système d'information
Impacts Manque de performance des réseaux IP
Destruction du patrimoine de la société
Confidentialité
Impacts
Traçabilité
Impacts Perte de la maitrise du système d'information
35
Audit de la sécurité des systèmes d’information de la CAMTEL
Disponibilité
Impacts
Intégrité
Impacts
Confidentialité
Impacts
Traçabilité
Impacts
36
Audit de la sécurité des systèmes d’information de la CAMTEL
Confidentialité
Impacts Manque de performance des réseaux IP
Traçabilité
Perte du chiffre d'affaire
Impacts
Manque de performance des réseaux IP
37
Audit de la sécurité des systèmes d’information de la CAMTEL
Disponibilité
Intégrité
Perte de la maitrise du système d'information
Impacts
Manque de performance des réseaux IP
Confidentialité
Procès à l'encontre de la société
Perte de souveraineté
Impacts Impossibilité de remplir les obligations légales
Perte de la maitrise du système d'information
Manque de performance des réseaux IP
Traçabilité
Perte de la maitrise du système d'information
Impacts
Manque de performance des réseaux IP
38
Audit de la sécurité des systèmes d’information de la CAMTEL
39
Audit de la sécurité des systèmes d’information de la CAMTEL
40
Audit de la sécurité des systèmes d’information de la CAMTEL
41
Audit de la sécurité des systèmes d’information de la CAMTEL
Centre Backbone
Centre de maintenance
Informatique
Salle serveur
Salle de réunion
Bureaux
WiFi
Intranet
D I C T
MA18 Espionnage à distance
- - X -
Vu10: Possibilités d'implanter des programmes
Suite bureautique
pirates
Antivirus
Plateforme d'administration
Voiture de Transite
Voitures de terrain
Voitures de Service
Meubles
Appels d'Offres
Help Desk
Opérateur de sauvegarde
2
Centre de Multiplexage
Centre Backbone
Centre de maintenance
Informatique
Salle serveur
Salle de réunion
Bureaux
Garage
Magasin
Bâtiments
Systèmes d'exploitation
D I C T
MA19 Ecoute passive
- - X -
Vu11: Accès logique au matériel permettant la
Suite bureautique
pose d'un logiciel d'écoute
Antivirus
Plateforme d'administration
Poste de travail 3
Téléphone analogique fixe
Imprimante, Photocopieuse,
Scanner
PABX
42
Audit de la sécurité des systèmes d’information de la CAMTEL
43
Audit de la sécurité des systèmes d’information de la CAMTEL
Téléphone IP
Caméra
Voiture de Transite
Voitures de terrain
Voitures de Service
Meubles
Appels d'Offres
Help Desk
Opérateur de sauvegarde
Centre de Multiplexage
Centre Backbone
Centre de maintenance
Informatique
Salle serveur
Salle de réunion
Bureaux
Garage
Magasin
Bâtiments
WiFi
Intranet
Windows Server
Site internet
D I C T
MA21 Vol de matériels
X - X X
Vu13: Matériels insécurisés Poste de travail
Téléphone analogique fixe
Imprimante, Photocopieuse,
Scanner
PABX
Serveurs Réseaux (Backup)
Serveurs d'Applications
Routeur
Switch
Baie de brassage 1
Multiplexeur
Téléphone IP
Caméra
Voiture de Transite
Voitures de terrain
Voitures de Service
Meubles
Appels d'Offres
Help Desk
44
Audit de la sécurité des systèmes d’information de la CAMTEL
Opérateur de sauvegarde
Centre de Multiplexage
Centre Backbone
Centre de maintenance
Informatique
Salle serveur
Salle de réunion
Bureaux
Garage
Magasin
Bâtiments
MA22 Récupération de supports recyclés ou mis D I C T
au rebut - - X -
D I C T
MA23 Divulgation
- - X -
D I C T
MA25 Piégeage du matériel
- X X -
Vu14: Possibilités de pose d'éléments matériels
Poste de travail
additionnels pour stocker, transmettre ou altérer
Téléphone analogique fixe
Imprimante, Photocopieuse,
Scanner
PABX
Serveurs Réseaux (Backup)
Serveurs d'Applications
Routeur
Switch
Baie de brassage
Multiplexeur
Téléphone IP
Caméra
1
Voiture de Transite
Voitures de terrain
Voitures de Service
Meubles
Appels d'Offres
Help Desk
Opérateur de sauvegarde
Centre de Multiplexage
Centre Backbone
Centre de maintenance
Informatique
Salle serveur
Salle de réunion
Bureaux
45
Audit de la sécurité des systèmes d’information de la CAMTEL
Garage
Magasin
Bâtiments
WiFi
Intranet
D I C T
MA26 Piégeage du logiciel
X X X X
Vu15: Logiciels insécurisés Suite bureautique
Antivirus
Plateforme d'administration
Centre de Multiplexage
Centre Backbone
Centre de maintenance 1
Informatique
Salle serveur
Windows Server
Systèmes d'exploitation
Site internet
D I C T
MA28 Panne matérielle
X X - -
Vu16: Mauvaises conditions d'utilisation Poste de travail
Téléphone analogique fixe
Imprimante, Photocopieuse,
Scanner
PABX
Serveurs Réseaux (Backup)
Serveurs d'Applications
Routeur 3
Switch
Baie de brassage
Multiplexeur
Centre de Multiplexage
Centre Backbone
Centre de maintenance
Informatique
D I C T
MA29 Dysfonctionnement du matériel
X X - -
Vu17: Mauvaises fiabilités des matériels Poste de travail
Téléphone analogique fixe
Imprimante, Photocopieuse,
Scanner
2
PABX
Serveurs Réseaux (Backup)
Serveurs d'Applications
Routeur
46
Audit de la sécurité des systèmes d’information de la CAMTEL
Switch
Baie de brassage
Multiplexeur
Téléphone IP
Caméra
D I C T
MA30 Saturation du système informatique
X - - X
Vu30: Mauvais dimensionnement des ressources Suite bureautique (ACCESS)
Antivirus
Plateforme d'administration
WiFi
4
Intranet
Windows Server
Systèmes d'exploitation
Site internet
D I C T
MA31 Dysfonctionnement logiciel
X X - X
Vu18: Défaillances des logiciels Suite bureautique
Antivirus
Plateforme d'administration
Serveurs Réseaux (Backup)
1
Serveurs d'Applications
Windows Server
Systèmes d'exploitation
Site internet
D I C T
MA33 Utilisation illicite des matériels
X X X -
Vu19: Usages non autorisés des matériels Suite bureautique
Antivirus
Plateforme d'administration
Poste de travail
Téléphone analogique fixe
Imprimante, Photocopieuse,
Scanner
PABX
Serveurs Réseaux (Backup) 3
Serveurs d'Applications
Routeur
Switch
Baie de brassage
Multiplexeur
Téléphone IP
Caméra
Voiture de Transite
47
Audit de la sécurité des systèmes d’information de la CAMTEL
Voitures de terrain
Voitures de Service
Meubles
Appels d'Offres
Help Desk
Opérateur de sauvegarde
Centre de Multiplexage
Centre Backbone
Centre de maintenance
Informatique
Salle serveur
Salle de réunion
Bureaux
Garage
Magasin
Bâtiments
WiFi
Intranet
Windows Server
Systèmes d'exploitation
Site internet
D I C T
MA35 Utilisation de logiciels contrefaits ou copiés
X - - -
Vu20: Logiciels sans licence Suite bureautique
Antivirus
Plateforme d'administration
Serveurs Réseaux (Backup)
Serveurs d'Applications 2
WiFi
Intranet
Windows Server
Systèmes d'exploitation
D I C T
MA36 Altération des données
- X X X
D I C T
MA37 Traitement illicite des données
- X X X
Vu22: Détériorations des données Poste de travail
Les données dont la modification ou la mise à jour Téléphone analogique fixe
n'est pas intègre et non justifiée Imprimante, Photocopieuse,
Scanner
PABX 1
Serveurs Réseaux (Backup)
Serveurs d'Applications
Routeur
Switch
48
Audit de la sécurité des systèmes d’information de la CAMTEL
Baie de brassage
Multiplexeur
Téléphone IP
Caméra
Voiture de Transite
Voitures de terrain
Voitures de Service
Meubles
Appels d'Offres
Help Desk
Opérateur de sauvegarde
Garage
Magasin
Bâtiments
D I C T
MA38 Erreur d'utilisation
X X X X
D I C T
MA39 Abus de droit
X X X X
Vu24: Absence de contrôle d'accès Suite bureautique
Les droits ne sont pas respectés et sont utilisé de Antivirus
manière abusive Plateforme d'administration
Poste de travail
Téléphone analogique fixe
Imprimante, Photocopieuse,
Scanner
PABX
Serveurs Réseaux (Backup)
Serveurs d'Applications
Routeur
Switch
Baie de brassage
Multiplexeur 2
Téléphone IP
Caméra
Voiture de Transite
Voitures de terrain
Voitures de Service
Meubles
Appels d'Offres
Help Desk
Opérateur de sauvegarde
Centre de Multiplexage
Centre Backbone
Centre de maintenance
Informatique
49
Audit de la sécurité des systèmes d’information de la CAMTEL
Salle serveur
Salle de réunion
Bureaux
Garage
Magasin
Bâtiments
Windows Server
Systèmes d'exploitation
Site internet
Vu25: Absence de protection physique Suite bureautique
Antivirus
Plateforme d'administration
Poste de travail
Téléphone analogique fixe
Imprimante, Photocopieuse,
Scanner
PABX
Serveurs Réseaux (Backup)
Serveurs d'Applications
Routeur
Switch
Baie de brassage
Multiplexeur
Téléphone IP
Caméra
Voiture de Transite
Voitures de terrain
2
Voitures de Service
Meubles
Appels d'Offres
Help Desk
Opérateur de sauvegarde
Centre de Multiplexage
Centre Backbone
Centre de maintenance
Informatique
Salle serveur
Salle de réunion
Bureaux
Garage
Magasin
Bâtiments
Windows Server
Systèmes d'exploitation
Site internet
50
Audit de la sécurité des systèmes d’information de la CAMTEL
D I C T
MA40 Usurpation de droit
X X X -
D I C T
MA41 Reniement d'actions
- X - X
Vu26: Absence de méthodes de suivi des actions Suite bureautique
Antivirus
Plateforme d'administration
Poste de travail
Téléphone analogique fixe
Imprimante, Photocopieuse,
Scanner
PABX
Serveurs Réseaux (Backup)
Serveurs d'Applications
Routeur
Switch
Baie de brassage
Multiplexeur
Téléphone IP
Caméra
Voiture de Transite
Voitures de terrain
Voitures de Service
3
Meubles
Appels d'Offres
Help Desk
Opérateur de sauvegarde
Centre de Multiplexage
Centre Backbone
Centre de maintenance
Informatique
Salle serveur
Salle de réunion
Bureaux
Garage
Magasin
Bâtiments
WiFi
Intranet
Windows Server
Systèmes d'exploitation
Site internet
Vu27: Absence de procédures d'accès à
Suite bureautique
l'information classifiée
3
Antivirus
Plateforme d'administration
51
Audit de la sécurité des systèmes d’information de la CAMTEL
Poste de travail
Téléphone analogique fixe
Imprimante, Photocopieuse,
Scanner
PABX
Serveurs Réseaux (Backup)
Serveurs d'Applications
Routeur
Switch
Baie de brassage
Multiplexeur
Téléphone IP
Caméra
Voiture de Transite
Voitures de terrain
Voitures de Service
Meubles
Appels d'Offres
Help Desk
Opérateur de sauvegarde
Centre de Multiplexage
Centre Backbone
Centre de maintenance
Informatique
Salle serveur
Salle de réunion
Bureaux
Garage
Magasin
Bâtiments
WiFi
Intranet
Windows Server
Systèmes d'exploitation
Site internet
D I C T
MA42 Atteinte à la disponibilité du matériel
X - - -
52
Audit de la sécurité des systèmes d’information de la CAMTEL
53
Audit de la sécurité des systèmes d’information de la CAMTEL
54
Audit de la sécurité des systèmes d’information de la CAMTEL
Men34)
R17 Pertes de données (réf: Men09) 0 4 4 4 4 4
Risque d'arrêt de fonctionnement du
matériel (réf: Men16)
R23 0 4 4 4 4 4
<<Destruction accidentelle et/ou volontaire du
matériel>>
Risque d'utilisation disproportionnée des
droits (réf: Men23)
R24 0 4 4 4 4 4
<<Les droits ne sont pas respecté et sont utilisé
de manière abusive>>
Prendre
Obj03 (ou maintenir), voire augmenter : assumer les conséquences sans prendre de mesure de sécurité
supplémentaire.
Transférer
Obj04 Partager les pertes occasionnées par un sinistre ou faire assumer la responsabilité à un (des) tiers
(une assurance).
55
Audit de la sécurité des systèmes d’information de la CAMTEL
Sécurité câblage
Mes02 Il convient de protéger les câbles électriques ou de télécommunication transportant des
informations contre toute interception ou dommage.
Choix de l'architecture réseau
Mes03
Il convient de situer et de bien concevoir les réseaux à mettre en place.
Protection des infrastructures, réseaux et du matériel
Mes04 Il convient de protéger le matériel de manière à réduire les risques de menaces et de dangers
environnementaux et les possibilités d'accès non autorisés.
Protection contre les menaces internes
Mes05 Il convient de concevoir et d'appliquer des mesures de protection logiques et physiques contre des
attaques provenant du personnel ou de disfonctionnement système.
Protection contre les menaces externes
Mes06 Il convient de concevoir et d'appliquer des mesures de protection physique contre les dommages
causés par les incendies, les inondations, les tremblements de terre, les expulsions, les troubles civils
et autres formes de catastrophes naturelles ou de sinistres provoqués par l'homme ou la nature.
56
Audit de la sécurité des systèmes d’information de la CAMTEL
Il convient de réaliser des copies de sauvegarde des informations et logiciels et de les soumettre
régulièrement à essai conformément à la politique de sauvegarde convenue.
Mes11 Il convient que l'ensemble des salariés d'un organisme et, le cas échant, les contractants et
utilisateurs tiers suivent une formation adaptée sur la sensibilisation et reçoivent régulièrement les
mises à jour des politiques et procédures de l'organisme, pertinentes pour leurs fonctions.
Mes14 Il convient d'élaborer et de mettre en œuvre des plans destinés à maintenir ou à restaurer
l'exploitation et à assurer la disponibilité des informations au niveau et dans les délais
requis suite à une interruption ou une panne affectant les processus métier cruciaux.
Fuite d'information
Mes15
Il convient d'empêcher toute possibilité de fuite d'informations.
Engagement de confidentialité
Mes18 Il convient d'identifier et de réexaminer régulièrement les exigences en matière d'engagements de
confidentialité ou de non-divulgation, conformément aux besoins de l'organisme.
57
Audit de la sécurité des systèmes d’information de la CAMTEL
Il convient que les droits d'accès de l'ensemble des salariés, contractants et utilisateurs tiers à
l'information et aux moyens de traitement de l'information soient supprimés à la fin de leur période
d'emploi, ou modifiés en cas de modification du contrat ou de l'accord.
Mes26 Il convient d'identifier les exigences relatives à l'authentification et à la protection de l'intégrité des
messages. Il convient également d'identifier et de mettre en œuvre les mesures appropriées.
Mes28 Il convient d'inclure des mesures de validation dans les applications afin de détecter les éventuelles
altérations de l'information dues à des erreurs de traitement ou des actes délibérés.
Mes29 Il convient de mettre en œuvre des mesures de détection, de prévention et de récupération pour se
protéger des codes malveillants ainsi que des procédures appropriées de sensibilisation des
utilisateurs.
Mes30 Il convient de gérer et de contrôler les réseaux de manière adéquate pour qu'ils soient protégés des
menaces et de maintenir la sécurité des systèmes et des applications utilisant le réseau, notamment
les informations en transit.
58
Audit de la sécurité des systèmes d’information de la CAMTEL
Il convient de séparer les tâches et les domaines de responsabilité pour réduire les occasions de
modification ou de mauvais usage non autorisé(e) ou involontaire des biens de l'organisme.
Mes32 Il convient que tous les salariés, contractants et utilisateurs tiers restituent la totalité des biens de
l'organisme qu'ils ont en leur possession à la fin de leur période d'emploi, contrat ou accord.
Mes34 Pour tous les services réseau, il convient d'identifier les fonctions réseau, les niveaux de service et
les exigences de gestion, et de les intégrer dans tout accord sur les services réseau, qu'ils soient
fournis en interne ou en externe.
Dans le cadre de leurs obligations contractuelles, il convient que les partenaires de CAMTEL et les
Mes35 tiers fournisseurs se mettent d'accord sur les modalités du contrat d'échanges les liant et le signent.
Il convient que ce contrat définisse respectivement les responsabilités de CAMTEL et de
l'organisme partenaire en terme de sécurité de l'information, des biens et matériels logistique.
Messagerie électronique
Mes42 Il convient de protéger de manière adéquate les informations transitant par la messagerie
électronique.
Mes43 Restriction d'accès à l'information
59
Audit de la sécurité des systèmes d’information de la CAMTEL
Mes55 Il convient de concevoir et d'appliquer des mesures de protection physique contre les dommages
causés par les incendies, les inondations, les tremblements de terre, les explosions, les troubles
civils et autres formes de catastrophes naturelles ou de sinistres provoqués par l'homme..
60
Audit de la sécurité des systèmes d’information de la CAMTEL
Il convient de gérer et de contrôler les réseaux de manière adéquate pour qu'ils soient protégés des
menaces et de maintenir la sécurité des systèmes et des applications utilisant le réseau, notamment
les informations en transit.
Mes59 Pour tous les services réseau, il convient d'identifier les fonctions réseau, les niveaux de service et
les exigences de gestion, et de les intégrer dans tout accord sur les services réseau, qu'ils soient
fournis en interne ou en externe.
Mes67 Il convient de mettre en œuvre des mesures du routage des réseaux afin d'éviter que les connexions
réseau et les flux d'informations ne portent atteinte à la politique de contrôle d'accès des
applications de gestion.
Mes69 Il convient d'attribuer à chaque utilisateur un identifiant unique et exclusif et de choisir une
technique d'authentification permettant de vérifier l'identité déclarée par l'utilisateur.
61
Audit de la sécurité des systèmes d’information de la CAMTEL
63
Audit de la sécurité des systèmes d’information de la CAMTEL
64
Audit de la sécurité des systèmes d’information de la CAMTEL
65
Audit de la sécurité des systèmes d’information de la CAMTEL
66
Audit de la sécurité des systèmes d’information de la CAMTEL
Bibliographie
- Organigramme de la CAMTEL (Février 2012)
- Base de connaissance EBIOS (PREMIER MINISTRE : Secrétariat général de
la défense et de la sécurité nationale Agence nationale de la sécurité des
systèmes d’information Sous-direction assistance, conseil et expertise Bureau
assistance et conseil)
- METHODES D’AUTHENTIFICATION, par Dr. BELL B. Georges
- MASTERE SPECIALISE EN INFORMATIQUE : Option Réseaux et
Télécommunications, Session 2003-2004. Par WATLAL Yassine
- Politique de Sécurité du Système d’Information de CAMTEL, par Armel
MEBANDE
- AUTORISATION & CONTROLE D’ACCES, par Prof. Jean-Noël Colin
- Politiques et modèles de sécurité ENST-Bretagne, janvier 2007. Par Ludovic
Mé
- ORBAC : un modèle de contrôle d’accès basé sur les organisations, par Anas
Abou El Kalam.
- EBIOS - gestion des risques, par Dr. BELL B. Georges
- Quel audit de Sécurité dans quel contexte ?, par Hervé Morizot, 09 avril 2002.
Expression des Besoins et Identification des Objectifs de Sécurité, Version du
10 novembre 2004, PREMIER MINISTRE. Secrétariat général de la défense
nationale, Direction centrale de la sécurité des systèmes d’information, Sous-
direction des opérations, Bureau conseil
- Manuel technique d’audit
- Modèle d'architecture d'implémentation d'un contrôle d'accès technique à un
réseau d'entreprise, par Elie MABO, consultant.
- Maîtrise des risques Secrétariat général de la défense nationale, Direction
centrale de la sécurité des systèmes d’information, Sous-direction des
opérations, Bureau Conseil
- Contrôle d’accès, par BELL B. Georges.
- Expression des Besoins et Identification des Objectifs de Sécurité, PREMI ER
MINISTRE Secrétariat général de la défense nationale Direction centrale de la
sécurité des systèmes d’information.
67
Audit de la sécurité des systèmes d’information de la CAMTEL
La Politique de Sécurité
De CAMTEL
68
Audit de la sécurité des systèmes d’information de la CAMTEL
Article 3 : Utilisateur
69
Audit de la sécurité des systèmes d’information de la CAMTEL
Alinéa 1 : Le CST s’assure que l’ensemble des nouveaux projets intègrent une
composante de sécurité et que les opérations de maintenance et d’évolution des systèmes
techniques se font en cohérence avec les exigences de sécurité.
Alinéa 2 : Le CST sensibilise, conseille et propose des solutions aux
problématiques de sécurité, directement ou en collaboration avec le RSS.
Alinéa 1 : Le CSM s’assure que l’ensemble des nouveaux projets intègrent une
composante de sécurité et que les opérations de maintenance et d’évolution des processus
métier se font en cohérence avec les exigences sécurité.
Alinéa 2 : Le CSM sensibilise, conseille et propose des solutions aux
problématiques de sécurité, directement ou en collaboration avec le RSS.
Alinéa 3 : Le CSM aide les Chefs de Projets à intégrer la composante sécurité de
l’initialisation aux phases finales des projets.
Alinéa 4 : Le CSM se tient au courant des évolutions du programme de sécurité en
liaison avec les CST impliqués lorsque cela est nécessaire.
70
Audit de la sécurité des systèmes d’information de la CAMTEL
Tout utilisateur ayant accès aux ressources physiques ou logique doit être
formellement identifié et authentifié et son profil devra correspondre aux droits
strictement nécessaires pour l’accomplissement des tâches qui lui sont confiées.
Article 5 : la confidentialité
71
Audit de la sécurité des systèmes d’information de la CAMTEL
l’objet de mesures de protection contre vol ou alors, les informations doivent être
chiffrées.
Alinéa 4 : Le stockage chez un prestataire externe de données sensibles est
interdit, sauf disposition contractuelle de protection ou chiffrement des données.
Alinéa 5 : Le chiffrement ou cryptage constitue un moyen de protection des
données. La longueur de la clé de chiffrement doit être au moins égale à 128 bits.
Alinéa 6 : Avant tout envoi en réparation, cession ou mise au rébus d’un matériel,
toutes les données sensibles contenues dans ce matériel devront être effacées de façon
irréversible. En cas d’échec, les supports de stockage doivent être démontés et détruits.
Article 8 : la disponibilité
72
Audit de la sécurité des systèmes d’information de la CAMTEL
baies SAN, d’un système de duplication active ou passive et d’une solution de réplication
distante.
Alinéa 4 : Un système d’archivage et sauvegarde régulier devra être mis en place
pour garantir la disponibilité continue des informations et des données du patrimoine
informationnel et infrastructurel (Documentation) de CAMTEL.
73
Audit de la sécurité des systèmes d’information de la CAMTEL
Article 1 :
Toute politique de contrôle d’accès doit être mise en place sur la base des
exigences d’exploitation et de sécurité.
Article 2 :
L’attribution des paramètres d’authentifications devra être réalisée dans le cadre
d’un processus formel.
Article 3 :
Les droits d’accès utilisateurs devront être réexaminés par la Direction à intervalles
réguliers.
Article 4 :
Tout utilisateur n’aura uniquement accès aux services pour lesquels il est
spécifiquement autorisé.
Article 5 :
Alinéa 1 : L’accès des utilisateurs distants sera effectué par des méthodes
d’authentification appropriées.
Alinéa 2 : un contrôle de l’accès physique et logique des ports de connexions sera
effectué afin de prévenir une éventuelle connexion non désirable.
Article 6 :
Toute session inactive serra déconnectée après une période d’inactivité de 2 ans.
Article 7 :
L’accès aux informations, aux sites et aux fonctions applicatives par tout utilisateur
et personnel chargé de l’assistance technique, sera restreint conformément à la politique
de contrôle d’accès du présent document.
Article 1 :
Tout employé ou collaborateur de l’entreprise doit se conformer aux exigences du
programme de sécurité et aux standards et procédures qui en résultent.
74
Audit de la sécurité des systèmes d’information de la CAMTEL
Article 2 :
Aucune exception n’est autorisée sans une implication et une justification motivée
du Management.
Article .1
Avant de vous déplacer relisez attentivement et respectez les règles de sécurité
édictées par CAMTEL.
Article.2
Prenez connaissance de la législation locale
Article 3.
Utilisez de préférence le matériel dédié aux missions. (Ordinateur, téléphone,
supports amovibles, véhicules etc.) ; Ce matériel ne doit contenir autres informations que
celles dont vous avez besoin pour la mission.
Article 4
Sauvegardez les données que vous emportez ainsi vous pourrez récupérer vos
données dès le retour de la mission, et entretenez les moyens physiques acquis pour la
mission.
Article 5
Evitez de partir avec vos données sensibles ou un équipement désuet.
Article 6
Emportez un filtre écran pour votre ordinateur si vous comptez profiter des trajets
pour travailler vos dossiers afin d’éviter que les curieux lisent vos documents par-dessus
vos épaules. Aussi il est recommander d’être accompagner de personnels qualifiés pour
chaque tache spécifique de la mission (chauffeur, mécanicien, électricien, informaticien,
etc).
Article 7
Mettez un signe distinctif sur vos appareils et équipement.
75
Audit de la sécurité des systèmes d’information de la CAMTEL
Pendant la mission
Article 1
Gardez vos appareils, supports avec vous.
Article2
Si vous êtes contraints de vous séparez de vos équipements, retirer et conserver
avec la carte SIM pour les informations et dans un site CAMTEL sécurisé pour les
équipements.
Article 3
Utilisez un logiciel de chiffrement pendant le voyage.
Article 4
Pensez à effacer l’historique de vos appels ou de vos navigations.
Article 5
En cas d’inspection ou de saisie par les autorités informez la direction concernée.
76