Etudes de Cas 64

Etudes de cas

Ennoncé

Un journaliste utilise un ordinateur portable pour rédiger ses articles. Il est employé par le
magazine VSD ( V et la Sécurité de Demain) mais il lui arrive de vendre ses articles à d'autres
journaux.

Sur son ordinateur, sont stockés son courrier électronique, ses contacts et tous ses articles publiés,
non encore parus et en cours de rédaction.

Pour rédiger des articles pertinents, ce journaliste se doit être un véritable globe trotter. Dans
l'urgence, il est amené à rédiger ses articles dans les salles d'attente, voire de les envoyer en
utilisant les hotspots disponibles.

A l'heure actuelle, la seule protection utilisée est un simple couple identifiant / mot de passe à
l'allumage de l'ordinateur
 Etudes de Cas 65

Echelle de valorisation des actifs

Echelle de valorisation des actifs

Valeur Signification

1 Faible Actif facilement remplaçable

Coût d'achat faible

Coût de maintenance faible

Ne nécessite pas de compétences particulières

2 Moyen Actif remplaçable dans la journée

Coût d'achat moyen

Coût de maintenance moyen

Nécessite des connaissances de base

3 Élevé Actif remplaçable dans la semaine

Coût d'achat élevé

Coût de maintenance élevé

Nécessite des connaissances techniques particulières

Actif remplaçable dans le mois

Coût d'achat très élevé

Coût de maintenance très élevé
4 Très élevé Nécessite des connaissances spécifiques.
 Etudes de Cas 66

Critères d'impact

Critères d'impact

Qualification du besoin en

Confidentialité Intégrité Disponibilité Niveau du besoin

Informations pouvant être Pas de validation nécessaire Arrêt supérieur à 3 jours Faible ou
publiques inexistant 1
Peut ne pas être intègre

Accès autorisé à l'ensemble du Simple validation possible Arrêt entre 1 jour et 3 Significatif
journal VSD jours 2
Peut être partiellement intègre

Accès autorisé à l'ensemble de Validation croisée Arrêt inférieur à 1 jours Fort 3

l'équipe
Doit être intègre

Accès autorisé à un membre Triple validation Aucun arrêt tolérable Majeur 4

unique de l'équipe
Doit être parfaitement intègre
 Etudes de Cas 67

Echelle de mesure des conséquences

Echelle de mesure des conséquences

Financier Juridique Commercial Activité Image Niveau d'impact

Perte financière faible ou nulle Perte juridique faible ou nul Perte de productivité Faible ou 1
Détérioration de la relation Perte image faible
inexistant
client ou nul

Amende Arrêt de travail court Significatif 2

Perte financière jugée modérée (10% Perte de contrat, d'opération Mention négative
du CA < X < 30% du CA) ou de transaction, ponctuelle dans un

Perte financière jugée significative Retrait temporaire de carte de PWÜPÜ Arrêt de Mention dans les Fort 3
(>30% du CA) presse, interdiction temporaire supports de
client travail
d'exercer l'activité
long

Perte financière Procès diffamation, atteinte à vie Perte d'un groupe de clients Reprise Mention du travail Mention dans la Majeur 4
prive ou impossible presse
jugée inacceptable
plagia
(> 50% du CA)
 Etudes de Cas 68

Exemple : Critères d'évaluation des risques

Vraisemblance d'un Moyenne Elevée

scénario d'incident Faible (Peu probable) (Possible) (Probable) Très élevée (Fréquente)

1 2 3 4
1 1 2 3 4
2 2 4 6 8
3 3 6 9 12
4 4 8 12 16
5 5 10 15 20
Impact 6 6 12 18 24
MAX
(SOM(CID)) 7 7 14 21 28
8 8 16 24 32
9 9 18 27 36
10 10 20 30 40
11 11 22 33 44
12 12 24 36 48
 Etudes de Cas 69

Exemple : Critères d'acceptation du risque

Niveau de risque Acceptation du risque

Risque faible 1-8 Oui

Risque
moyen 9-23 Non

Risque élevé 24-48 Non

 Etudes de Cas 70

Exemple: Cartographie des actifs : Liste des processus métiers reliés aux actifs

1 .Liste des processus métiers reliés aux actifs

Actif Propriétaire

Processus de rédaction Journaliste

Ordinateur Journaliste

Logiciel de traitement de texte Journaliste

Journaliste Journaliste

Articles en cours de rédaction Journaliste

Processus de vente Journaliste

Ordinateur Journaliste

Connexion internet Journaliste

Logiciel de messagerie Journaliste

Mails Journaliste

Journaliste Journaliste

Articles non publiés et non vendus Journaliste

Contacts Journaliste
 Etudes de Cas 71

Exemple : Liste des actifs valorisés

Actif Propriétaire

Actifs Primordiaux Processus de rédaction Journaliste

1
Processus de vente Journaliste
2
3 Articles en cours de rédaction Journaliste

4 Articles non publiés et non vendus Journaliste

5 Articles publiés Acheteur

Contacts Journaliste
6
Actifs en support 7 Ordinateur Journaliste

logiciel de traitement de texte Journaliste

8
9 logiciel de messagerie Journaliste

connexion internet Journaliste

10
mails Journaliste
11
Fichier d'article Journaliste
12
13 journaliste Journaliste
 Etudes de Cas 72

4. Liste des actifs sélectionnés

4. Liste des actifs sélectionnés

Actif Propriétaire Valeur Sélectionné

Actifs Primordiaux Processus de rédaction Journaliste 4 oui
1
Processus de vente Journaliste 3 oui
2
3 Articles en cours de rédaction Journaliste 4 oui
4 Articles non publiés et non vendus Journaliste 4 oui
5 Articles publiés Acheteur non
2
6 Contacts Journaliste 2 non
Actifs en support 7 Ordinateur Journaliste 4 oui
logiciel de traitement de texte Journaliste non
8 2
9 logiciel de messagerie Journaliste non
2
10 connexion internet Journaliste 1 non

11 mails Journaliste 2 non

Fichier d'article Journaliste 4 oui
12
13 journaliste Journaliste 4 oui
 Etudes de Cas 73

Exemple : Menaces sur les actifs

Actif Valeur Sélectionné Menaces

Actifs Primordiaux 1 Processus de rédaction 4 oui

2 Processus de vente 3 oui

3 Articles en cours de rédaction 4 oui Identification de menaces
ne effectuée pas sur les
4 Articles non publiés et non vendus 4 oui actifs primordiaux.
5 Articles publiés 2 non
6 Contacts 2 non
Actifs en support 7 Ordinateur 4 oui Vol
Destruction

Panne électrique

8 logiciel de traitement de texte 2 non

9 logiciel de messagerie 2 non
10 connexion internet 1 non
11 mails 2 non

12 Fichier d'article 4 oui Fraude /

Maladie

Destruction
Copie
13 journaliste 4 oui Enlèvement / Maladie
 Etudes de Cas 74

Exemple : Vulnérabilités des actifs

6. Liste de vulnérabilités

Actif Valeur Sélectionné Menaces Vulnérabilité

Actifs
Primordiaux
1 Processus de rédaction 4 oui
2 Processus de vente 3 oui
3 Articles en cours de rédaction 4 oui Identification de menaces n’effectuée pas sur les
actifs primordiaux.
\~ Articles non publiés et non vendus 4 oui

Articles publiés 2 non

Contacts 2 non
Actifs en support
7 Ordinateur 4 oui Vol portabilité
Destruction fragilité
Panne électrique dépend de l'électricité

8 logiciel de traitement de texte 2 non

9 logiciel de messagerie 2 non
10 connexion internet 1 non
11 mails 2 non

12 Fichier d'article 4 oui Fraude Accès libre

Destruction manque de sensibilisation
Copie Accès libre
 Etudes de Cas 75

Fichier en clair

13|journaliste 4 oui Enlèvement non préparation

Maladie manque de sensibilisation
 Etudes de Cas 76

Exemple : Conséquences et impacts sur les actifs

Liste de conséquences relatives aux actifs affectés et aux processus métiers affectés et impact vis-à-vis des critères CID

SOM (C, I, Max

Scénario d'incident Les actifs impactés O I D D) (SOM(Cl D» Conséquences
Perte financière jugée
Processus de rédaction 4 2 2 8
1 modérée
3 Articles en cours de rédaction Perte juridique faible ou
4 4 3 11
nulle
1 Vol de l'ordinateur du fait de sa
11 Perte de contrat, d'opération
portabilité.
4 4 3 11 ou de transaction, perte de
4 Articles non publiés et non vendus client mineur
7 Ordinateur 4 4 3 11 Perte de productivité
12 Fichier d'article 4 4 3 11 Perte image faible ou nulle
 Etudes de Cas 77

1 Processus de rédaction 1 2 2 5 Perte financière faible ou nulle

3 Articles en cours de rédaction 1 4 2 7 Perte juridique faible ou nulle

2.Destruction de l'ordinateur du
4 Articles non publiés et non vendus 1 4 2 7 7 Détérioration de la relation client
fait de sa fragilité.

7 Ordinateur 1 2 2 5 Perte de productivité

12 Fichier d'article 1 4 2 7 Perte image faible ou nulle

1 Processus de rédaction 1 2 2 5 Perte financière faible ou nulle

3 Articles en cours de rédaction 1 4 2 7 Perte juridique faible ou nulle
3.Suite à une panne électrique
4 Articles non publiés et non vendus 1 4 2 7 7 Détérioration de la relation client
l'ordinateur ne s'allume plus.
7 Ordinateur 1 2 2 5 Perte de productivité
12 Fichier d'article 1 4 2 7 Perte image faible ou nulle
 Etudes de Cas 78

1 Processus de rédaction 4 1 1 6 Perte financière jugée inacceptable

Retrait temporaire de carte de presse,
4.Après une connexion interdiction temporaire d'exercer
frauduleuse, le fichier d'article en 2 Processus de vente 2 1 3 6 l'activité
cours de rédaction est modifié 3 Articles en cours de rédaction 4 3 3 1O 10 Perte de client
avec des informations fausses et Arrêt de travail longe
publiés sans contrôle. Mention dans les supports de presse à
diffusion restreinte impact sur le
12 Fichier d'article 4 3 3 1O réputation à court terme.

5.Le manque de formation de 1 Processus de rédaction 1 3 3 7 Perte financière jugée significative

l'utilisateur à 3 Articles en cours de rédaction 1 4 4 9 Perte juridique faible ou nul
l'utilisation du système 12 Fichier d'article 1 4 4 9 Perte de client
d'exploitation 9 Arrêt de travail longe
entraîne une mauvaise
Mention dans les supports de presse à
manipulation
diffusion restreinte impact sur le
causant la perte de l'article.
réputation à court terme.

6.Après une connexion 1 Processus de rédaction 4 1 1 6 Perte financière jugée inacceptable

frauduleuse, le 2 Processus de vente 2 1 1 4 Amende
fichier d'article en cours de 3 Articles en cours de rédaction 4 1 1 6 Perte de client
rédaction est 12 Fichier d'article 4 1 1 6 6 Arrêt de travail longe
copié et publié par un autre journal
Mention dans les supports de presse à
diffusion restreinte impact sur le
réputation à court terme.
 Etudes de Cas 79

Perte financière jugée

Processus de vente 4 6
2 1 1 inacceptable
12 Fichier d'article 4 1 1 6 Amende
7.Lors d'une connexion dans un aéroport, le
Perte de client
fichier d'article en cours de transfert est
6 Arrêt de travail lonqe
écoutée et retransmis sur un site gratuit avant
sa publication officielle Mention dans les supports
de presse à diffusion
restreinte impact sur le
réputation à court terme.

Perte financière jugée

Processus de rédaction 1 1 4 6
1 significative
2 Processus de vente 1 1 4 6 Perte juridique faible ou nul
8 Dans une zone à risque, le journaliste est 13 journaliste Détérioration de la relation
1 1 4 6 6
pris en otage par des révolutionnaires. client
Arrêt de travail longe
Mention négative ponctuelle
dans un média

Processus de rédaction Perte financière jugée

1 1 3 5
1 significative
13 journaliste Perte juridique faible ou
1 1 3 5
9.Dans une gare, le journaliste mange des nulle
moules pas fraiches, il attrape une 5 Détérioration de la relation
intoxication alimentaire et il va à l'hôpital. client
Perte de productivité
Mention négative ponctuelle
dans un média
 Etudes de Cas 80

Mesures de sécurité existantes

 Etudes de Cas 81

Scénarios d'incident appréciés

 Etudes de Cas 82

Vraisemblance des scénarios d'incident

 Etudes de Cas 83

Calcul du niveau de risque

 Etudes de Cas 84

Risques sélectionnés pour traitement

 Etudes de Cas 85

Plan de traitement des risques

Etudes de Cas 86
Etudes de Cas 87
 Etudes de Cas 88

Bibliographie

1. Liste des ouvrages

Titre : « Management de la sécurité de l'information Implémentation ISO 27001 et ISO 27002 -

Mise en place d'un SMSI et audit de certification»

Auteur : Alexandre Fernandez-Toro - Editeur(s) : Eyrolles

Titre : Support de formation LSTI France «Gestion du risque en sécurité de l'information»

Auteur : Eric CAHOURS

Titre : Normes ISO 27001 / 27002 / 27005

Auteur : ISO/CEI

2. Sites Internet consultés

http://www.hsc.fr

http://cyberzoide.developpez.com

http://www.ansi.tn