Académique Documents
Professionnel Documents
Culture Documents
Page 1 sur 11
Sommaire
SOMMAIRE.................................................................................................................................................................. 2
INTRODUCTION........................................................................................................................................................... 3
CONTEXTE................................................................................................................................................................... 3
ACTEURS.............................................................................................................................................................................. 6
MISSIONS.............................................................................................................................................................................6
AUDIT ORGANISATIONNEL.....................................................................................................................................................10
TEST D’INTRUSION............................................................................................................................................................... 10
Page 2 sur 11
Introduction
Vous êtes amené à réfléchir sur un cas d’étude se basant sur un téléservice mis en place par deux
Conseils Régionaux. Cette situation est fictive et doit vous permettre d’appréhender la nouvelle méthode
d’analyse de risques EBIOS Risk Manager.
Vous devez lire attentivement le cas et suivre les instructions de l’animateur pour répondre aux questions
qui vous seront posées.
Contexte
Dans le cadre du projet « Aide financière aux étudiants démunis » les Conseils Régionaux de deux
Régions françaises ont décidé de donner une aide financière aux foyers sous le seuil de pauvreté ayant des
enfants en âge de faire des études supérieures et disposant d’un revenu annuel de moins de 10 000 € nets (le
SMIC net annuel à la fin 2018 est de 14 256 €).
Ces régions ayant le taux de chômage le plus important de France, cette aide financière permettra de
donner un soutien aux jeunes bénéficiaires de ces aides pour la poursuite de leurs études. Les régions estiment
que cette aide bénéficiera à plus de 1,5 millions de foyers français.
Les deux régions ont décidé de distribuer deux types d’aides (destinées aux jeunes de 18 à 23 ans) et ont
demandé à l’Agence de traitement des aides (ATA) d’en assurer la gestion. La première aide financière sera
destinée aux dossiers d’inscription dans des établissements du supérieur et la seconde au logement.
L’Agence de traitement des aides a signé un contrat avec la société PRONTO pour gérer et exploiter un
centre d’appels. Ce centre est responsable de la prise en compte des demandes d’aides et des réclamations des
étudiants qui ont des soucis pour la perception de leurs aides.
La société PRONTO a mis en place un système d’information intégrant deux acteurs : leur Centre
d’appel téléphonique (CAT) situé dans la ville de Lille et l’hébergeur ACME-USA localisé en Belgique. Dans
ce contexte, l’Agence de traitement des aides a lancé un programme informatique de développement d’un
téléservice et d’automatisation des aides, afin de pouvoir traiter le flux de demandes. Son objectif est le
traitement et la mise en service :
du socle de gestion de processus métiers ;
du socle de développement du téléservice ;
du téléservice de demande d’aide financière ;
de la demande de mise sous paiement.
Les éléments décrits dans le présent dossier vous permettront de vous accompagner à :
étudier l’écosystème dans lequel ce téléservice s’inscrit ;
découvrir l’architecture des différents systèmes d’information ;
identifier les vulnérabilités.
L’Agence de traitement des aides a besoin d’une assistance à maitrise d’œuvre et vous sollicite pour
réaliser l’analyse de risques en sécurité des systèmes d’information (SSI) par le biais de la méthode
EBIOS Risk Manager dont le périmètre couvre le SI de l’aide aux étudiants démunis ainsi que les
interconnexions de ce système avec l’extérieur.
Ce système devant être homologué avant qu’il soit mis en service, l’Agence de traitement des aides a
commandité en plus de l’analyse des risques, un audit de la sécurité du système d’information devant
permettre de vérifier les pratiques de sécurité sur les plans organisationnel, physique et technique des parties
prenantes de ce système, à savoir les sociétés PRONTO et ACME-USA.
Page 3 sur 11
le interfaces homme-machine (IHM) et Back Office (BO) nécessaires au traitement des
demandes issues du téléservice ;
les interfaces d’intégration entre le socle de gestion de processus métier et l’ensemble des
systèmes contributeurs.
Figure 1 : Description globale d'acquisition et de traitement d'une demande d’Aides financière aux étudiants démunis
Page 4 sur 11
Figure 2 : Vue d’ensemble et périmètre de la gestion des aides financières aux étudiants démunis
Page 5 sur 11
Présentation des acteurs entourant l’aide financière aux étudiants démunis
Acteurs
Dans le cadre de cette démarche, nous avons retenu un certain nombre d’acteurs :
usager ;
agent de l’Agence de traitement des aides ;
téléconseiller du centre d’appels de la société PRONTO ;
superviseur de l’Agence de traitement des aides ;
administrateur de l’Agence de traitement des aides ;
hébergeur ACME-USA.
Missions
Le système d’information permet de :
demander une aide financière pour s’inscrire dans une institution éducative ;
effectuer une demande pour le paiement du logement ;
suivre sa demande d’aides.
Par ailleurs, une fonction d’administration (disponible uniquement en back office pour les
administrateurs) : permet la gestion des administrateurs, la création d’une demande d’aide par un superviseur, le
suivi des demandes de remboursement, les statistiques du site.
Les opérateurs disposent d’un compte administrateur simple, seul l’Agence de traitement des
aides disposera du compte « super administrateur ».
Page 6 sur 11
demande en cours : base des demandes en cours de traitement ;
Instances de processus : base gérant les états de traitement des demandes (statuts des
demandes) ;
Référentiel de processus : base stockant la définition du processus de traitement des
demandes ;
Habilitation : base gérant les droits des utilisateurs sur le système de gestion de
processus,
un ensemble de sous-systèmes dédiés à la communication avec différents systèmes externes
contributeurs.
Page 7 sur 11
Page 8 sur 11
Système Destination Type Traitements
Institut nationale de
l’information Web Valide et normalise l’adresse saisie par
Téléservice
géographique et Service l’internaute.
forestière (IGN)
Web
Intégration SMS Envoie des SMS aux usagers.
Service
Centre d’Appel
Intégration FTP Envoie des documents au CAT
Téléphonique (CAT)
Tableau 2 : Echanges avec les systèmes externes de l’Agence de traitement des aides
1
SIREPA : Logiciel de Gestion Budgétaire et Comptable Publique(GBCP)
Page 9 sur 11
Figure 4 : Architecture technique
Bonita est un progiciel. Il permet de modéliser et standardiser des procédures d'entreprise ou des processus
métier. Il assure les fonctionnalités de :
• moteur de Business Process Model and Notation permettant d’assurer le bon déroulement étape par
étape du processus de traitement des demandes ;
• contrôle d’accès basé sur le modèle Role-Based Access Control, lequel permet de définir des rôles aux
utilisateurs et de contrôler les actions de ceux-ci sur le processus de traitement des demandes ;
• IHM de traitement des demandes permettant aux usagers de l’Agence de traitement des aides d’exécuter
les différences actions humaines sur les instances de demandes en cours de traitement ;
• IHM de corbeille de tâches permettant aux usagers de l’Agence de traitement des aides de visualiser les
demandes en cours qui ont besoin d’être traitées.
• IHM d’administration des rôles et utilisateurs permettant d’affecter des rôles applicatif à des utilisateurs
(basé sur le référentiel LDAP de l’Agence de traitement des aides).
Page 10 sur 11
Les conclusions de l’audit
Afin de déterminer le niveau de sécurité des systèmes d’information, l’Agence de traitement des aides a
demandé dans le cadre de ce projet, la réalisation d’un audit organisationnels et d’un test d’intrusion du Centre
d’appel téléphonique de la société PRONTO. Un audit organisationnel de sécurité de l’hébergeur ACME-USA
a été également demandé.
Audit Organisationnel
Vous trouverez ici une synthèse de la description des parties organisationnelles et techniques des audits
de la société PRONTO. Les résultats mettent en évidence un niveau de sécurité considéré comme étant Très
Satisfaisant, comme en atteste le taux de conformité constaté pour le domaine organisationnel.
La quasi-totalité des bonnes pratiques de sécurité des systèmes d’information de la norme ISO/CEI
27002:2013 et les exigences contractuelles indiquées dans le cahier des clauses techniques particulières
(CCTP) sont appliquées : existence de la prise en compte de la sécurité dès le début du projet sensibilisation
du personnel interne et externe, respect des procédures d’arrivée et départ des personnels, etc.
De plus, il a été constaté que la norme ISO/CEI 27005:2018 est mise en pratique de manière
consciencieuse (cycle d’amélioration continue PDCA Plan-Do-Check-Act, roue de Deming).
Toutefois, une seule non-conformité, a été constatée au centre d’appels : l’inexistence de secours
électrique. Le risque est limité au regard de la procédure de basculement de l’activité du centre d’appel sur un
autre centre de la société PRONTO en cas d’incident. Le plan de continuité et de reprise existant, a été vérifié
et évalué par l’auditeur.
Chez l’hébergeur ACME-USA le niveau organisationnel est également Très satisfaisant. Cependant,
une non-conformité partielle a été constatée. Cette dernière est associée à l’endroit où la société ACME-USA
possède son centre d’hébergement chez « Digital FM ».
Elle concerne le non-respect de la fermeture de la grille périmétrique à l’entrée du site. L’accès à ce
lieu est surveillé par un gardien appartenant à la société « Digital FM » et devant être toujours présent à
l’heure du passage. Les auditeurs sont entrés alors que le gardien n’était pas à son poste de travail.
Test d’intrusion
Si le niveau de sécurité des serveurs et des applications peut être considéré satisfaisant, une faille liée à
l’absence d’authentification permet de récupérer de nombreuses informations personnelles sur les utilisateurs
du service.
Le niveau de sécurité du téléservice dans l’état actuel est considéré comme Faible car en désaccord
avec la politique de protection des données et la réglementation. Il n’existe aucune authentification sur le
téléservice, ce qui permet de récupérer des informations confidentielles via une attaque triviale, en possédant
le nom d’une victime potentielle.
De plus, il a été possible d’accéder à l’ensemble de dossiers des demandeurs et ayant été créés via le
téléservice donc à l’intégralité des leurs informations personnelles et ce de manière triviale.
Page 11 sur 11