Memoire Costa Final

Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
DÉDICACE
Je dédie ce travail
À LA
FAMILLE
SENGUEL
i
Rédigé par COSTA SENGUEL
REMERCIEMENTS
Au terme de ce travail, nos remerciements vont d’abord à l’endroit du DIEU

TOUT PUISSANT qui nous a accordé santé, force et courage pour achever
sereinement cette étude. Reconnaissances exprimées pareillement à l’endroit des
personnes suivantes :
 Pr. MOHAMADOU BOUBA ADJI, Directeur de l’Institut Universitaire de
Technologie de Ngaoundéré (IUT) pour la qualité de la formation reçu dans son
institution ;
 M. DANGBE Ezéchiel chef de la division des formations initiales ;
Pr. YENKE Blaise Omer, chef du Département informatique de l’Institut
Universitaire de Technologie de Ngaoundéré qui est un père pour les étudiants ;
 Dr. NDAM Djoya Arouna Chef service de stage à l’IUT de Ngaoundéré ;
 Dr. SAOUNGOUMI Sourpele Rodrigue encadrant Académique, pour sa
disponibilité et la bienveillance qu’il a mobilisée pour que ce travail soit
présentable ;
 Tous mes enseignants pour leur contribution à ma formation ;
 Pr. ABIA Chantal Marguerite Epse MVEH, Directeur du Centre National de
Développement de l’Informatique (CENADI) de Yaoundé pour m’avoir accordé le
stage de fin de formation ;
 L’encadrant professionnel M. PETOU Saha Yannick, pour sa disponibilité, la
pertinence de ses suggestions et la bienveillance qu’il a mobilisé pour qu’on puisse
réaliser ce travail ;
 Les personnels de la Division de la Téléinformatique et de la Bureautique (DTB)
pour leurs suggestions et leurs apports à ce travail ;
 L’ensemble du personnel du Centre National de Développement de l’Informatique
au sein de laquelle j’ai effectué mon stage ;
 Mes amis avec lesquels j’ai suivi ma formation à l’Institut Universitaire de
Technologie de Ngaoundéré.
ii
Table des matières
I.1. Situation géographique .............................................................................................................. viii

I.2. Historique ..................................................................................................................................... ix
II. Secteur d’activité ............................................................................................................................ x
III. Organisation administrative.......................................................................................................... xi
1- Définitions et terminologies de la sécurité ...................................................................................... 6

2- Les objectifs de la sécurité ............................................................................................................ 10
3- Anatomie d’une attaque ................................................................................................................ 10
4- Les types d’attaques ...................................................................................................................... 11
I.4.1) Les attaques réseaux ............................................................................................................ 11
I.4.2) Les attaques applicatives ..................................................................................................... 13
I.4.3) Les attaques systèmes .......................................................................................................... 13
I.5- Logiciels malveillants ................................................................................................................. 14
I.6- Dispositif de sécurité .................................................................................................................. 15
I.6.1) Firewall (pare-feu) ............................................................................................................... 15
I.6.2) Antivirus .............................................................................................................................. 15
I.6.3) VPN (Virtual Private network) ............................................................................................ 15
I.6.4) IDS (Intrusion Detection System)........................................................................................ 16
I.6.5) IPS (Intrusion Prevention System) ...................................................................................... 16
iii
I.6.6) DMZ (Demilitarized Zone) .................................................................................................. 16

I.6.7) VLAN (Virtual Local Area Network).................................................................................. 16
I.6.8) Proxy .................................................................................................................................... 16
II.1- Sur le plan physique .................................................................................................................. 17

II.2- Sur le plan administratif ............................................................................................................ 17
II.3- Sur le plan technique ................................................................................................................. 17
III.1- Outils de solutions disponible .................................................................................................. 18

III.1.1) Outils de solutions sur le plan technique ........................................................................... 18
III.2- Choix et justification de la solution ......................................................................................... 20
II.1- Atelier 1 : Cadrage et socle de sécurité ..................................................................................... 25

II.2- Atelier 2 : Sources de risque ...................................................................................................... 27
II.3- Atelier 3 : Scénarios stratégiques .............................................................................................. 28
II.4- Atelier 4 : Scénarios opérationnels ............................................................................................ 30
II.5- Atelier 5 : Traitement du risque................................................................................................. 31
I.1- Atelier 1 : Cadrage et Socle de sécurité ...................................................................................... 37

I.2- Atelier 2 : Source de risque......................................................................................................... 44
I.3- Atelier 3 : Scénarios Stratégiques ............................................................................................... 45
II.1- Résultat atelier 1 : Cadrage et socle de sécurité ........................................................................ 48

II.2- Résultat atelier 2 : Source de risque .......................................................................................... 53
iv
LISTE DES ABRÉVIATIONS
CENADI : Centre National de Développement de l’Informatique
CIB : Centre Informatique de Bafoussam
CID : Centre Informatique de Douala
CIG : Centre Informatique de Garoua
DAAF : Division des Affaires Administratives et Financières
DEL : Division de l’Exploitation et des Logiciels
DEP : Division des Études et Projets
DIRE : Division de l’Informatique appliquée à la Recherche et à l’Enseignement
DIT : Direction de l’Informatique et de la Téléinformatique
DTB : Division de la Téléinformatique et de la Bureautique
IPsec : Internet Protocol Security
IUT : Institut Universitaire de Technologie
MESIRES : Ministère de l’Enseignement Supérieur, de l’Informatique et de la Recherche Scientifique
MINAC : Ministère des Arts et de la Culture
MINAS : Ministère des Affaires Sociales
MINFI : Ministère des Finances
MINMAP : Ministère de l’Informatique et des Marchés Publics
MINPROFF : Ministère de la Promotion de la Femme et de la Famille
MINREST : Ministère de la Recherche Scientifique et Technique
PR : Présidence de la République
SCI : Service Central de l’Informatique
SCM : Service Central de la Mécanographie
SG : Secrétariat Général
VPN : Virtuel Private Network
v
LISTE DES TABLEAUX

Tableau 1: Historique du CENADI............................................................................................................ ix
Tableau 2 : classe d’acceptation couramment utilisé en management du risque. ................................ 33
Tableau 3 : Exemple de modèle d’évaluation des risques résiduel. ...................................................... 34
Tableau 4: Identification Société et Mission ......................................................................................... 37
Tableau 5: identification de la valeur métier ......................................................................................... 37
Tableau 6: Identification de l’actif et bien support associé ................................................................... 38
Tableau 7 : Scénario de risque lié aux actifs identifié avec analyse d’impact sur les trois standards du
system d’information : la disponibilité, l’intégrité et la confidentialité du CENADI ........................... 40
Tableau 8: Définition des évènements redoutés ................................................................................... 43
Tableau 9: Analyse et définition du socle de sécurité ........................................................................... 44
Tableau 10 : Analyse et identification des objectifs visés .................................................................... 45
vi
LISTE DES FIGURES

Figure 1: Plan de localisation du CENADI à Yaoundé ........................................................................ viii
Figure 2: Organigramme hiérarchique du CENADI ............................................................................... xi
Figure 3: Illustration d’une sécurité. ....................................................................................................... 6
Figure 4: Illustration d’une attaque ...................................................................................................... 11
Figure 5: Illustration d’un pare-feu. ..................................................................................................... 15
Figure 6 : Interface EBIOS-RM ............................................................................................................ 23
Figure 7 : Pyramide du management du risque numérique ................................................................... 24
Figure 9: Interface atelier 1 .................................................................................................................. 49
Figure 10 : Résultat société et mission ................................................................................................. 49
Figure 11: Résultat entité et personne responsable............................................................................... 50
Figure 12: Résultat valeur métier ......................................................................................................... 50
Figure 13 : Résultat bien support associé ............................................................................................. 51
Figure 14 : Résultat événement redouté et impact ............................................................................... 52
Figure 15: Résultat socle de sécurité .................................................................................................... 52
Figure 16 : Résultat source de risque.................................................................................................... 53
Figure 17 : Résultat objectif visé ......................................................................................................... 53
Figure 18 Interface atelier 3 ................................................................................................................. 54
Figure 19: Résultat catégorie ................................................................................................................ 54
Figure 20: Résultat partie prenante ....................................................................................................... 55
Figure 21 : Cartographie partie prenante .............................................................................................. 55
Figure 22: Résultat chemin d’attaque ................................................................................................... 56
Figure 23: Résultat mesure de sécurité ................................................................................................. 56
vii
PRÉSENTATION DE L’ENTREPRISE
I- SITUATION GEOGRAPHIQUE ET HISTORIQUE DU CENADI

I.1. Situation géographique
Le Centre National de Développement de l’Informatique (CENADI) de Yaoundé est une
entreprise publique dont la situation géographique est faite ci-dessous. Il occupe les locaux de l’ancienne
Présidence de la République avec le Ministère des Affaires Sociales (MINAS) et le Ministère de la
Promotion de la Femme et de la Famille (MINPROFF).
Figure 1: Plan de localisation du CENADI à Yaoundé1
1
Google Mapp
viii
I.2. Historique
Le CENADI a été institué par Décret n° 88/1087 du 12 août 1988 portant création et organisation
du Centre National de Développement de l’Informatique (CENADI) au Ministère de l’Enseignement
Supérieur, de l’Informatique et de la Recherche Scientifique (MESIRES).
Le Décret n° 93/133 du 10 mai 1993 modifiant certaines dispositions du décret n° 88/1087 du

12 août 1988 portant création et organisation du Centre National de Développement de l’Informatique
a placé le CENADI sous la tutelle du Ministère des Finances (MINFI). Le CENADI a été maintenu dans
l'organisation gouvernementale et rattaché au MINFI par le décret n° 2011/408 du 09 décembre 2011
portant Organisation du Gouvernement.
L’Article 2 (nouveau) alinéa 1 du Décret n° 93/133 du 10 mai 1993 stipule qu’il est l’organe
chargé de la mise en œuvre de la politique du gouvernement dans le domaine de l’informatique et de la
téléinformatique. Il se présente ainsi comme le conseiller du gouvernement, des administrations
publiques et parapubliques, des collectivités locales et même des entreprises privées en matière
informatique. Le tableau ci-après présente un bref historique du CENADI.
Tableau 1: Historique du CENADI2

APPELATIONS ORGANISME DE RATTACHEMENT ANNÉES
Service Central de la Rattaché au secrétariat d’État au Plan 1960
Mécanographie (SCM)
Service Central de l’Informatique Rattaché au Secrétariat Général (SG) de la 1967
(SCI) Présidence de la République (PR)
Direction Centrale de Rattachée au Secrétariat Général (SG) de la 1976
l’Informatique et de la Présidence de la République (PR)
Téléinformatique (DCIT)
Direction de l’Informatique et de la Ministère de l’Informatique et des Marchés 1985
Téléinformatique (DIT) Publics (MINMAP).
Centre National de Développement Sous tutelle Ministère de l’Enseignement 1988
de l’Informatique (CENADI) Supérieur, de l’Informatique et de la Recherche
Scientifique (MESIRES).
CENADI Sous la tutelle du Ministère de la Recherche 1991
Scientifique et Technique (MINREST).
CENADI Sous la tutelle du Ministère des Finances 1993
CENADI Maintenu rattaché au Ministère des Finances. 2011
2
Centre National de Développement de l’Informatique, 2023, « Présentation du CENADI » p 1
ix
II. Secteur d’activité

L’article 2 (nouveau) alinéa 1 du Décret n° 93/133 du 10 mai 1993 cité en amont stipule que le
CENADI « a pour mission la mise en œuvre de la politique du Gouvernement dans le domaine de
l’Informatique et de la Téléinformatique, ainsi que le développement des méthodes informatiques,
téléinformatiques dans tous les secteurs de la vie nationale. En outre, il veille au secret, à la
confidentialité et à l’intégrité des données et des informations ».
Ainsi, le CENADI est chargé de :
 Participer à la mise au point des orientations pour la Recherche Scientifique et Technique

et pour la Promotion de l’Enseignement de l’Informatique ;
 Concevoir, mettre en place et exploiter les "systèmes d’information ou de conduite de
processus" destinés à la gestion, à la production des biens et services, à l’enseignement, aux
opérations de toute nature impliquant l’usage immédiat ou futur de l’Informatique et de la
Téléinformatique ;
 Négocier les protocoles d’accord avec les constructeurs et les fournisseurs de matériel et
des logiciels informatiques ;
 Définir et gérer de façon exclusive les banques d’informations et les réseaux de transmission
de données implantés dans l’Administration, dans les organismes parapublics et
éventuellement dans le privé ;
 Assurer ou superviser l’exploitation des ordinateurs installés dans le secteur public et
éventuellement dans les secteurs parapublics et privés ;
 Mettre à la disposition de la clientèle tout ou une partie de ses ressources en conseils,
matériels, logiciels ou fichiers de données ;
 Veiller à l’utilisation rationnelle des équipements informatiques notamment en exigeant la
compatibilité entre les différents équipements installés et à acquérir en assurant l’adéquation
entre les besoins actuels et futurs de l’acquéreur d’un équipement informatique et la capacité
de celui-ci ;
 Assurer à la demande du Gouvernement ou de la clientèle les expertises de contrôle sur les
opérations d’automatisation ou d’organisation effectuées par les sociétés de services ou les
utilisateurs eux-mêmes ;
 Participer à l’application des soumissions pour les appels d’offres de marchés

d’informatisation des opérations de l’Etat.
x
III. Organisation administrative

La structure organisationnelle du CENADI comprend :
Ministère des finances
Conseil de direction
Secrétariat Général
Direction
Secrétariat
DEP DEL DTB DIRE DAAF CID
CIB CIG
CIG
Figure 2: Organigramme hiérarchique du CENADI3
3
Centre National de Développement de l’Informatique, 2023, « Présentation du CENADI », p.3
xi
RÉSUMÉ
Le Centre National de Développement Informatique (CENADI) et son service central basé à
Yaoundé est l’organe étatique conseil du Gouvernement du Cameroun, des administrations, tant
publiques que parapubliques en matière d’informatique. Cette entité gouvernementale a pour
mission principale le traitement de la solde de l‘Etat à travers son système d’information composé
de ressources, de personnes, de processus et de technologies utilisés pour collecter, stocker, traiter et
diffuser des informations au sein de son organisation. Afin de bien assurer sa mission, le CENADI doit
s’appuyer sur les composants de son système d’information cartographiés selon trois vues principales à
savoir la vue métier, la vue applicative et la vue infrastructure. Le problème identifié parmi tant d’autres
qui a grandement retenu notre attention provient des menaces auxquelles fait face le système
d’information de notre organisation et le risque élevé de ne pas atteindre les objectifs escomptés. D’où
la nécessité de mettre sur pied un outil de gestion des risques cyber selon la méthode E-bios à travers
son outil Ebios-RM. Pour résoudre cette problématique, nous avons choisi comme périmètre de travail
l’infrastructure réseau et plus précisément la couche accès du réseau local du CENADI. Tout au long de
notre travail nous avons essayé de ressortir les différentes vulnérabilités avec les menaces associées sur
les actifs selon leur criticité dans l’organisation afin d’analyser les potentiels risques encourus. Nous
avons étayé notre travail par le choix de l’outil mis au point par l’Agence Nationale de la Sécurité des
Systèmes d’Information (ANSSI en France). C’est une méthode assez complète qui part de la mission
pour prendre en compte les vulnérabilités physiques, administratives et techniques, ainsi que les
menaces associées pour ressortir les risques potentiels et enfin proposer les mesures de sécurité
appropriées.
Mots clés : système d’information, vulnérabilité, menace, risque, cyber, Scénarios de risques,
Scenarios de menaces.
.
1
ABSTRACT
The National Center for IT Development (CENADI) and its central service based in
Yaoundé is the state body advising the Government of Cameroon, administrations, both public
and parastatal, in matters of IT. This governmental entity has as its main mission the processing
of the state payroll through its information system composed of resources, people, processes
and technologies used to collect, store, process and disseminate information within its
organization. In order to properly carry out its mission, CENADI must rely on the components
of its information system mapped according to three main views, namely the business view, the
application view and the infrastructure view. The problem identified among many others that
has greatly caught our attention comes from the fact that in view of the threats to which the
information system of our organization poses, consequently the risk of not achieving its
objectives becomes too high. Hence the need to set up a cyber risk management tool according
to the E-bios method through its Ebios-RM tool. To address this problem, we have chosen as
the work perimeter the network infrastructure and more precisely the access layer of the
CENADI local network. Throughout our work we have tried to highlight the different
vulnerabilities with the associated threats to the assets according to their criticality in the
organization in order to analyze the potential risks incurred. We supported our work by
choosing the tool developed by the National Agency for Information Systems Security (ANSSI
in France). It is a fairly complete method that starts from the mission to take into account the
physical, administrative and technical vulnerabilities and the associated threats to highlight the
potential risks and finally propose the appropriate security measures.
Keywords: Information system, vulnerability, threat, intrusion, risk, cyber, Risks scenarios,
Threats scenarios.
2
INTRODUCTION
3
INTRODUCTION
Le système d'information du CENADI est composé de personnes, de ressources
matérielles, de ressources physiques, de gestion automatisée, d'informations cruciales, de
commutateurs et de serveurs. Cependant, ce système d'information rencontre certains
problèmes, tels que l'absence de portes sécurisées dans certains bureaux, le manquement dans
le respect des mises à jour et l'inexistence du cahier de suivi pour les mises à jour. Sur le plan
administratif, l’on observe un manque d'organisation puisque l’accès aux commutateurs est
libéral, à la portée de tous et sans procédure établie. En qualité de stagiaire, nous avons pu
d’ailleurs entrer dans les salles serveurs sans aucune procédure administrative préalable. Au
regard de tous ces problèmes non exhaustifs, il est évident que le système d'information du
CENADI court le risque de ne pas être en mesure d'atteindre ses objectifs et ses missions.
En général, l'objectif de ce travail est d'améliorer la sécurité du réseau local de la salle

Tigre du CENADI. Plus précisément, il consiste à identifier et à évaluer les risques potentiels
de sécurité des informations en prenant en compte les risques liés à la cybercriminalité.
La solution proposée consiste à utiliser la méthode Ebios-RM pour mettre en place un

outil de gestion des risques cybernétiques.
Le résultat obtenu grâce à l'utilisation de la méthode EBIOS-RM est une gestion efficace
des risques cyber. EBIOS-RM offre plusieurs avantages, tels que la gestion complète des
risques, la standardisation, l'analyse des impacts, la collaboration, le suivi et l'amélioration
continue de la gestion des risques. Cela permet au CENADI de mieux comprendre et gérer les
risques auxquels il est confronté.
Afin d’atteindre notre objectif, cette étude sera divisée en trois chapitres :
- Le premier chapitre se concentrera sur la présentation et la description du problème, en
s'appuyant sur l'état de l'art existant.
- Le deuxième chapitre fera une présentation de la solution et une description de la
méthodologie.
- Le troisième chapitre sera consacré à la validation de cette solution.
4
CHAPITRE I :
PRÉSENTATION ET
DESCRIPTION DU PROBLÈME
5
CHAPITRE I : PRÉSENTATION ET DESCRIPTION DU

PROBLÈME
La gestion des risques liés à la cybersécurité permet au CENADI de mieux
appréhender et gérer les risques associés aux cyberattaques et aux incidents de sécurité
informatique. L'approche de la gestion des risques cyber au sein d'une structure de
développement informatique tel que le CENADI peut être envisagée selon trois aspects :
physique, administratif et technique. Dans ce chapitre, nous allons définir les concepts tels que
le système d'information, le risque, la menace et la cybersécurité. Pour une meilleure
compréhension de ce chapitre, nous commencerons par présenter les bases de la sécurité
informatique, puis le problème, les différentes solutions envisageables pour résoudre ce
problème, et la solution adossée au problème.
I- GÉNÉRALITÉS SUR LA SÉCURITÉ INFORMATIQUE ET

DÉFINITIONS
Figure 3: Illustration d’une sécurité.4
1- Définitions et terminologies de la sécurité

La sécurité informatique utilise un ensemble de termes bien spécifique comme :
- Sécurité :
De manière générale, elle fait référence à l'état de protection contre les dangers, les risques, les
dommages ou les menaces.
- Sécurité informatique :
4
https://www.istockphoto.com/fr/photo/pare-feu-informatique-gm1270286129-373291715 (visité le
26/06/2023)
6
La sécurité informatique désigne l'ensemble des mesures prises pour protéger les systèmes
informatiques, les réseaux et les données contre les menaces, les attaques ou les intrusions.
- Système d’information :
Un système d'information (SI) est un ensemble organisé de ressources (personnes, procédures,
logiciels, matériel, données) qui vise à collecter, stocker, traiter et distribuer des informations
dans le but de soutenir la prise de décision, la coordination, le contrôle et l'analyse au sein d'une
organisation.
- Vulnérabilité :
C’est une faiblesse de sécurité qui peut découler par exemple d’une erreur d’implémentation
dans le développement d’une application ou d’une erreur susceptible d’être exploitée pour nuire
à l’application. Elle peut également provenir d’une mauvaise configuration. Elle peut enfin
avoir pour origine une insuffisance de moyens de protection des biens critiques.
- Menace :
Elle désigne l’exploitation d’une faiblesse de sécurité par un attaquant qu’il soit interne ou
externe à l’entreprise.
- Risque :
Les menaces engendrent des risques et des coûts humains et financiers comme la perte de
confidentialité de données sensibles et l’indisponibilité de l’infrastructure et des données.
Les risques peuvent survenir si le système menacé présente des vulnérabilités.
- Attaque :
C’est le résultat de l’exploitation d’une faille détectée par un système informatique
(Système d’exploitation, logiciel, erreur de configuration, . . . etc.) à des fins non connues par
l’exploitant du système, généralement répudiable.
- Cyber :
Le mot "cyber" est un préfixe qui est souvent utilisé pour faire référence à l'informatique, à
l'internet et aux aspects technologiques liés à ces domaines.
- Scénario de risque :
Un scénario de risque est une description détaillée d'un événement potentiel qui pourrait causer
des dommages, des pertes ou des problèmes à une organisation. Il identifie les différentes
étapes, les acteurs et les conditions qui pourraient contribuer à récurrence du risque.
- Scenario de menace :Un scénario de menace est une représentation de différents types
d'attaques potentielles ou d'actes malveillants qui pourraient cibler une organisation. Ces
7
scénarios peuvent inclure des attaques informatiques, des vols, des fraudes, des actes de
sabotage, etc.
- Intrusion :
C’est le résultat d’une attaque qui a réussi à exploiter une vulnérabilité, dans le cas où l’attaque
est réalisée par le système informatique n’est plus en sécurité.
- Contre mesure :
Elles donnent au système la capacité à réagir aux tentatives d’intrusions.
EXEMPLES : disponibilité, intégrité, confidentialité, traçabilité.
- Bien support (Supporting asset) :
Composante du système d’information sur laquelle repose une ou plusieurs valeurs métier.
Un bien support peut être de nature numérique, physique ou organisationnelle.
- Chemin d’attaque (Attack path) :
Suite d’événements distincts que la source de risque devra probablement générer pour
atteindre son objectif. Cette terminologie concerne les scénarios stratégiques.
- Ecosystème (Ecosystem) :
Ensemble des parties prenantes en interaction avec l’objet de l’étude. On entend par
interaction toute relation intervenant dans le fonctionnement normal de l’objet de l’étude.
Les sources de risque ne sont pas considérées a priori comme des parties prenantes, sauf si
elles peuvent avoir un effet sur le fonctionnement de l’objet de l’étude.
- Événement redouté (Feared event) :
Un événement redouté est associé à une valeur métier et porte atteinte à un critère ou besoin
de sécurité de la valeur métier (exemples : indisponibilité d’un service, modification
illégitime du seuil de température haute d’un processus industriel, divulgation de données
classifiées, modification d’une base de données). Les événements redoutés à exploiter sont
ceux des scénarios stratégiques et se rapportent à l’impact d’une attaque sur une valeur
métier. Chaque événement redouté est évalué selon le niveau de gravité des conséquences,
à partir d’une métrique.
- Gravité (Severity) :
Estimation du niveau et d’intensité des effets d’un risque. La gravité fournit une mesure des
impacts préjudiciables perçus, qu’ils soient directs ou indirects.
Exemples : négligeable, mineure, majeure, critique, maximale.
- Mission (Mission) : Fonction, finalité, raison d’être de l’objet de l’étude.
8
- Niveau de risque (Risk level) : Mesure de l’importance du risque, exprimée par la

combinaison de la gravité et de la vraisemblance.
- Objectif visé (OV) (Target objective) : Finalité visée par une source de risque, selon ses
motivations.
Exemples : voler des informations à des fins lucratives ou d’espionnage industriel, diffuser
un message idéologique, se venger d’un organisme, générer une crise sanitaire.
- Mesure de sécurité (Security control) :
Moyen de traiter un risque prenant la forme de solutions ou d’exigences pouvant être
inscrites dans un contrat.
- Partie prenante (Stakeholder) :
Élément (personne, système d’information, organisation, ou source de risque) en interaction
directe ou indirecte avec l’objet de l’étude. On entend par interaction toute relation
intervenant dans le fonctionnement normal de l’objet de l’étude. Une partie prenante peut
être interne ou externe à l’organisation à laquelle appartient l’objet de l’étude.
Exemples : partenaire, prestataire, client, fournisseur, filiale, service connexe support.
- Point d’eau (Waterhole) :
Piège mis en place sur un serveur d’un site Internet régulièrement visité par les utilisateurs
ciblés. L’attaquant attend une connexion de sa victime sur le serveur pour la compromettre.
Le site Internet piégé peut être un site légitime ou un faux site.
- Scénario opérationnel (Operational scenario) :

Enchainement d’actions élémentaires portées sur les biens supports de l’objet étudié ou de
son écosystème. Planifiés par la source de risque en vue d’atteindre un objectif déterminé,
les scénarios opérationnels sont évalués en termes de vraisemblance.
- Scénario stratégique (Strategic scenario) :
Chemins d’attaque allant d’une source de risque à un objectif visé en passant par
l’écosystème et les valeurs métiers de l’objet étudié. Les scénarios stratégiques sont évalués
en termes de gravité.
- Source de risque (sr) (Risk origin) :
Élément, personne, groupe de personnes ou organisation susceptible d’engendrer un risque.
Une source de risque peut être caractérisée par sa motivation, ses ressources, ses
compétences, ses modes opératoires (de prédilection).
Exemples : services étatiques, hacktivistes, concurrents, employés vengeurs.
9
- Valeur métier (Business asset) :

Dans le cadre de l’étude, importante pour l’organisation dans l’accomplissement de sa
mission. Cela peut être un service, une fonction support, une étape dans un projet et toute
information ou savoir-faire associé.
Exemples : service d’annulation de réservations en ligne ou de sauvegarde, informations
clients, service de supervision, résultats des travaux de R&D, données à caractère personnel,
phase de déploiement d’un projet, savoir-faire en conception de pièces aéronautiques.
- Vraisemblance (Likelihood) :
Estimation de la faisabilité ou de la probabilité qu’un risque qui se réalise, selon l’échelle
adoptée (très faible, peu vraisemblable, quasi certain, etc.)
2- Les objectifs de la sécurité

Une politique de sécurité réseau vise à satisfaire les objectifs suivants :
La confidentialité : ensemble des mécanismes permettant qu’une communication de données
reste privée entre un émetteur et un destinataire. Les données ne doivent être visibles que par
les personnes autorisées.
La non-répudiation : mécanisme permettant de garantir qu’un message a bien été envoyé par
un émetteur et reçu par un destinataire.
La disponibilité : son objectif est de garantir l’accès à un service ou à des ressources et de
s’assurer que les systèmes et les données soient accessibles et opérationnels lorsqu'ils sont
nécessaires.
3- Anatomie d’une attaque

Fréquemment appelés "les 5P" dans la littérature, ces cinq verbes anglophones
constituent le squelette de toute attaque informatique. Nous avons :
• Probe (Analyser) : Consiste en la collecte d’information par le biais d’outils comme whois,
Arin, DNS look up. La collecte d’informations sur le système cible peut s’effectuer de plusieurs
manières, comme un scan de ports grâce au programme Nmap ou encore un scan de
vulnérabilité à l’aide du programme Nessus.
• Penetrate (Pénétrer) : Consiste en l’utilisation des informations récoltées pour pénétrer un
réseau. Les techniques comme le brut force ou les attaques par dictionnaires peuvent être
utilisées pour outrepasser les protections par mot de passe.
10
• Persist (Persister) : Consiste en la création d’un compte avec des droits de super utilisateurs
pour pouvoir se ré-infiltrer ultérieurement. Une autre technique consiste à installer une
application de contrôle à distance capable de résister à un cheval de Troie.
• Propagate (Propager) : Cette étape consiste à observer ce qui est accessible et disponible sur
le réseau local.
• Paralyse (Paralyser) : Cette étape peut consister en plusieurs actions. Le pirate peut utiliser
un serveur pour mener une attaque sur une autre machine ; détruire des données ou encore
endommager le système d’exploitation.
4- Les types d’attaques
Figure 4: Illustration d’une attaque5
Les attaques informatiques peuvent être classées en différentes catégories en fonction de leur
objectif et de la méthode utilisée. Voici quelques catégories courantes d'attaques :
I.4.1) Les attaques réseaux

Ces types d’attaques se basent principalement sur des failles liées aux protocoles ou à leur
implémentation. Nous présenterons dans ce qui suit quelques attaques bien connues.
Les techniques de scan : Le scan de ports est une méthode pour déterminer le type
d’attaque que l’on peut lancer sur une machine cible. Cette technique consiste à
rapporter des informations sur la machine scannée, et en particulier le système
5
https://web.maths.unsw.edu.au/~lafaye/CCM/attaques/attaques-web.htm (visité le 10/06/2023)
11
d’exploitation et les services installés. On peut donc déterminer avec précision les
failles de sécurité et donc les types d’attaques possibles sur la machine.
IP Spoofing : Le Spoofing consiste à se faire passer pour un autre système en falsifiant
son adresse IP. Le pirate commence par choisir le système qu’il veut attaquer. Après
avoir obtenu le maximum de détails sur ce système cible, il détermine les systèmes ou
adresses IP autorisés à se connecter au système cible. Le pirate attaque ensuite le
serveur cible en utilisant l’adresse IP falsifiée.
ARP Spoofing : Le but de cette attaque est de rediriger le trafic d’une machine vers
une autre. Grace à cette redirection, une personne mal attentionnée peut se faire passer
pour une autre. De plus, le pirate peut ré-router les paquets qu’il reçoit vers les
véritables destinataires, ainsi l’utilisateur usurpé ne se rendra compte de rien.
La finalité est la même que l’IP Spoofing mais celle-ci se déroule au niveau de la couche liaison
de donnée. Pour effectuer cette usurpation, il faut corrompre le cache ARP de la victime. Ce
qui signifie qu’il faut lui envoyer des trames ARP en lui indiquant que l’adresse IP d’une autre
machine est la sienne.
DNS Spoofing : Le but de cette attaque est de fournir de fausses réponses aux requêtes
DNS c’est-à-dire indiquer une fausse adresse IP pour un nom de domaine afin de rediriger, à
leur insu, des internautes vers des sites pirates. Grâce à cette fausse redirection, l’utilisateur
peut envoyer ses informations en toute confiance telle que les identifiants. Il existe deux
techniques pour effectuer cette attaque.
Fragments attacks : Le but de cette attaque est de passer outre les protections des
équipements de filtrage IP. Dans ce cas, un pirate peut s’infiltrer dans un réseau pour effectuer
des attaques ou récupérer des informations confidentielles.
Sniffing : Le Sniffing ou reniflement de trafic constitue l’une des méthodes couramment
utilisées par les pirates informatiques pour espionner le trafic sur le réseau. Dans la pratique,
les hackers font généralement recours à ce procédé, pour détecter tous les messages circulant
sur le réseau en récupérant des mots de passe et des données sensibles.
Déni de service : Le déni de service est une attaque visant à rendre indisponible un
service. Ceci peut s’effectuer de plusieurs manières : par le biais d’une surcharge réseau,
rendant ainsi la machine totalement injoignable ; ou bien de manière applicative en crashant
l’application à distance.
12
I.4.2) Les attaques applicatives

Injection SQL : Les attaques par injection de command SQL sont des attaques visant
les sites web, elles s’appuient sur des bases de données. Le but des injections SQL est d’injecter
le code SQL dans une requête de base de données. Ainsi, il est possible de récupérer des
informations se trouvant dans la base (Ex : des mots de passe) ou encore de détruire les données.
Scripts : Principalement Web (Ex : PHP HyperText Preprocessor), ils s’exécutent sur
un serveur et renvoient un résultat au client. Cependant, lorsqu’ils sont dynamiques (i.e. qu’ils
utilisent des entrées saisies par un utilisateur), des failles peuvent apparaître si les entrées ne
sont pas correctement contrôlées.
Les problèmes de configuration : Il est très rare que les administrateurs réseau
configurent correctement un programme. En général, ils se contentent d’utiliser les
configurations par défaut. Celles-ci sont souvent non sécurisées afin de faciliter l’exploitation
du logiciel.
Les bugs : Liés à un problème dans le code source, ils peuvent amener à l’exploitation
de failles. Il n’est pas rare de voir l’exploitation d’une machine bloquée suite à une simple erreur
de programmation. On ne peut toutefois rien faire contre ce type de problème, si ce n’est
attendre un correctif de la part du développeur.
Man in the middle : L’attaque « man in the middle » littéralement « attaque de l’homme
au milieu », est un scénario d’attaque dans lequel un pirate écoute une communication entre
deux interlocuteurs et falsifie éventuellement les échanges à leur insu.
I.4.3) Les attaques systèmes

Les attaques systèmes font référence aux méthodes utilisées par des individus
malveillants pour compromettre la sécurité d'un système informatique. Ces attaques peuvent
varier en termes de sophistication et d'objectifs. Voici quelques-unes des attaques systèmes
courantes :
Attaques par déni de service (DDoS) : Ces attaques consistent à submerger un
système, un réseau ou un site Web avec un trafic excessif afin de le rendre indisponible
pour les utilisateurs légitimes.
Ingénierie sociale : Cette attaque vise à manipuler les utilisateurs afin qu'ils divulguent
des informations sensibles, telles que des mots de passe ou des informations
d'identification, en se faisant passer pour une entité de confiance.
13
Malware : Les malwares sont des logiciels malveillants tels que les virus, les chevaux
de Troie, les vers et les ransomwares, qui sont conçus pour infecter et endommager les
systèmes informatiques.
Attaques par phishing : Les attaques par phishing consistent à tromper les utilisateurs
pour qu'ils divulguent des informations personnelles, telles que des identifiants de
connexion ou des informations financières, en imitant des entités légitimes par le biais
de courriels, de sites Web ou de messages texte.
Attaques par force brute : Ces attaques tentent de deviner les mots de passe en
essayant de multiples combinaisons jusqu'à ce que le bon soit trouvé.
Attaques de l'homme du milieu : Les attaques de l'homme du milieu visent à
intercepter et à modifier les communications entre les parties légitimes, permettant ainsi
à l'attaquant d'espionner ou de manipuler les échanges de données.
I.5- Logiciels malveillants

Virus : C’est un programme capable d’infecter d’autres programmes en les modifiant pour y
inclure une copie de lui-même qui pourra avoir légèrement évolué.
Ver : Un ver est une variété de virus qui se propage par le réseau. Il se reproduit en s’envoyant
à travers un réseau (e-mail, Bluetooth, chat. . .). Le ver contrairement aux virus, n’a pas besoin
de l’interaction humaine pour pouvoir se proliférer.
Cheval de Troie : Un cheval de Troie est un logiciel qui se présente utile ou préalable, et qui,
une fois installé sur un ordinateur, y effectue des actions cachées et pernicieuses. La différence
essentielle entre un cheval de Troie et un ver réside dans le fait que le var tente de se multiplier.
Ce que ne fait pas un cheval de Troie.
Les logiciels d’espions : Ce sont des logiciels qui facilitent la collecte d’informations, ils
peuvent surveiller et consigner les activités se déroulant sur un système cible.
Cookies : Un cookie est en réalité un fichier stocké sur le disque dur de l’utilisateur, afin de
permettre au serveur web de le reconnaître d’une page web à l’autre. Les cookies sont
notamment utilisés par les sites de commerce électronique afin de conserver les préférences de
l’utilisateur (par exemple les options qu’il a cochées) afin de lui éviter la ressaisie. Mais certains
cookies sont utilisés par des personnes malintentionnées à des fins malicieuses.
Porte dérobée : Une porte dérobée (backdoor) est un logiciel de communication cachée. Il
permet à un utilisateur externe de prendre le contrôle d’un ordinateur à distance. Les portes
dérobées sont effectuées par les chevaux de Troie une fois lancés pour ouvrir toutes grandes les
portes de l’ordinateur attaqué. Passant des logiciels malveillants aux dispositifs de sécurité, il
14
convient désormais d'aborder la question de la protection et de la prévention des cybers

menaces.
I.6- Dispositif de sécurité

Les dispositifs de sécurité sont des mesures de protection essentielles pour prévenir les
attaques de logiciels malveillants et assurer la sécurité des systèmes informatiques. Ils aident à
détecter, prévenir et éliminer les logiciels nuisibles, garantissant ainsi un environnement
numérique plus sûr. Nous pouvons citer entre autres les :
I.6.1) Firewall (pare-feu)

Un firewall est un outil informatique (matériel et/ou logiciel) conçu pour protéger les
données d’un réseau (protection d’un ordinateur personnel relié à Internet par exemple, ou
protection d’un réseau d’entreprise). Il permet d’assurer la sécurité des informations d’un réseau
en filtrant les entrées et en contrôlant les sorties selon des règles définies par son administrateur.
Figure 5: Illustration d’un pare-feu.6

I.6.2) Antivirus
Il s’agit d’un logiciel capable de détecter et de détruire les virus contenus sur un disque.
Le logiciel a pour charge de surveiller la présence de virus et éventuellement de nettoyer,
supprimer ou mettre en quarantaine le ou les fichier(s) infecté(s). Ils surveillent tous les espaces
dans lesquels un virus peut se loger.
I.6.3) VPN (Virtual Private network)

Est un service qui permet à un ou plusieurs poste(s) distant(s) d’établir des connexions
privées et sécurisées dans le réseau public comme internet pour communiquer de manière sure.
6
https://www.istockphoto.com/fr/search/2/image?phrase=pare+feu visité le 26/06/2023
15
Ce type de liaison est apparu suite à un besoin croissant des entreprises de relier les différents
sites.
I.6.4) IDS (Intrusion Detection System)

C’est un mécanisme permettant d’écouter le trafic réseau et de contrôler les activités
réseau afin de repérer toutes activités anormales ou suspectes et ainsi remonter des alertes sur
les tentatives d’intrusion à un système informatique.
I.6.5) IPS (Intrusion Prevention System)

Les systèmes de prévention d’intrusions sont des systèmes de détection d’intrusions
particuliers qui permettent, en plus de repérer les tentatives d’intrusion à un système, d’agir
pour contrer ces tentatives. En effet, les IPS constituent des IDS actifs qui tentent de bloquer
les intrusions.
I.6.6) DMZ (Demilitarized Zone)

C’est une interface située entre un segment de réseau connu (réseau interne) et un
segment inconnu (réseau internet) .Une série de règles de connexion configurées sur le pare-
feu de cette interface ; une zone physiquement isolée entre les deux réseaux. Cette séparation
physique permet d’autoriser les accès internet à destination des serveurs placés dans la DMZ et
non à ceux destinés au réseau privé.
I.6.7) VLAN (Virtual Local Area Network)

Un VLAN est un réseau local regroupant un ensemble de machines de façon logique et
non physique. Grâce aux réseaux virtuels (VLANs). Il est possible de s’affranchir des
limitations de l’architecture physique (contraintes géographiques, contraintes d’adressage, ...)
en définissant une segmentation logique (logicielle) basée sur un regroupement de machines
grâce à des critères (adresses MAC, numéros de port, protocole, etc.)
I.6.8) Proxy
Le proxy est un ordinateur faisant office de passerelle entre le réseau d’un particulier ou
d’une entreprise et internet, il fait office de firewall pour tout le réseau, ce qui en fait une
sécurité de plus en cas d’attaque. Il sert de mémoire cache, téléchargeant les pages web visitées
par les utilisateurs du réseau local. Il permet alors de les exécuter à partir du proxy et non du
serveur distant qui héberge le site.
La gestion des risques dans une organisation informatique nécessite une approche
holistique qui couvre les aspects physiques, administratifs et techniques.
16
II- PRÉSENTATION DU PROBLEÈME SUR LES PLANS

PHYSIQUE, ADMINISTRATIF et TECHNIQUE
Les vulnérabilités dans une organisation de développement informatique comme le

CENADI comprennent plusieurs aspects sur les plans physique, administratif et technique.
Voici une explication de ces différents domaines :
II.1- Sur le plan physique

Il s'agit des faiblesses de sécurité liées à l'environnement physique tel que l’absence des
clôtures, la non mise en application du système biométrique et de badges, l’absence très souvent
des agents de sécurité à leur poste. Au-delà de ces défaillances, le CENADI est confronté au
problème d’éclairage, des portes d’accès, de détecteurs de mouvement, d’installation hors site,
d’absence des détecteurs de fumée, la bai n’est pas sécurisé, de sécurité de la bai et de la non
prise en compte des télévisions en circuit fermé. Ces problèmes associés, sont à mesure de
conduire aux menaces telles que les incendies, les inondations, les pannes de courant, les
accidents, le vol, accès aux informations, etc.
II.2- Sur le plan administratif

Ce sont les risques liés aux politiques, aux procédures et aux pratiques d'organisation.
Cela peut inclure des erreurs humaines, des négligences, des accès non autorisés, des vols de
données, etc.
La gestion de ces risques passe par l'élaboration de plusieurs politiques de sécurité solide,
la sensibilisation et la formation du personnel, la mise en place du contrôle d'accès approprié,
la sauvegarde régulière des données sensibles, la politique de sécurité, la surveillance, la
séparation des tâches, la rotation des postes, la classification des informations, les procédures
personnelles, l’enquête, les tests, la formation et la sensibilisation à la sécurité.
II.3- Sur le plan technique
Ces risques sont liés aux vulnérabilités et aux menaces qui peuvent affecter les systèmes
informatiques de l'organisation. Cela peut concerner les attaques de logiciels malveillants, des
piratages, des failles de sécurité, des pannes matérielles, etc.
Pour gérer ces risques, il est essentiel de mettre en place des mesures de sécurité
technique telles que l'utilisation de pare-feu, de logiciels de détection d'intrusion, de chiffrement
17
des données, de mises à jour régulières des logiciels, de journal d'audit, de logiciel antivirus, de
l’image serveur, de la carte à puce, des systèmes de rappel par numérotation et de la sauvegarde
des données.
III- SOLUTIONS DISPONIBLES POUR GÉRER LES RISQUES

ET CHOIX DES SOLUTIONS
III.1- Outils de solutions disponible
III.1.1) Outils de solutions sur le plan technique
On distingue plusieurs outils nous permettant de résoudre le problème. Ceux-ci n’étant

limité qu’au niveau technique, nous pouvons présenter quelques-unes :
 NESSUS (NEtwork and System Security Unicasting Scanner) : C’est un outil de

scanneur de vulnérabilité réseau qui permet de détecter les vulnérabilités et les failles
de sécurité présentes sur les serveurs, les ordinateurs, les périphériques et les
applications.
 Nmap (Network Mapper) : C'est un scanner de port destiné à la détection des hôtes et
des services d'un réseau. Il peut également aider à identifier les failles de sécurité de ces
derniers.
 OpenVAS (Open Vulnerability Assessment System) : est un scanner de vulnérabilité
open source qui permet de détecter les vulnérabilités et les faiblesses de sécurité dans
les systèmes informatiques. Il peut être utilisé pour effectuer des audits de sécurité, de
numérisation de réseaux, de systèmes et d'applications web pour identifier les
vulnérabilités telles que les failles de sécurité, les exploits potentiels et les failles de
configuration de système.
 Wireshark (Requin de fils) : C'est un analyseur de protocole réseau utilisé pour
capturer et analyser les paquets de données en transit sur un réseau. Wireshark peut aider
à détecter les failles de sécurité dans les communications réseaux.
III.1.2) Outils de Solutions englobant le contrôle technique, physique et

administratif
On distingue également plusieurs outils qui nous permettent de gérer ces risques. Ceux-
ci prennent en compte le contrôle technique, physique et administratif. Nous pouvons citer :
18
 EBios RM (Expression des Besoins et Identification des Objectifs de Sécurité - Risk

Management) : Il s'agit d'un référentiel méthodologique français développé par
l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI) pour la gestion
des risques liés à la sécurité de l'information dans une organisation. EBios RM fournit
un cadre pour l'identification, l'analyse et l'évaluation des risques de sécurité des
systèmes d'information.
 MEHARI (Méthode Harmonisée d'Analyse de Risques) : C'est une méthode
d'analyse de risques en sécurité informatique largement utilisée en France de manière
précise et en Europe de manière générale, pour évaluer la sécurité des systèmes
d'information. Cette méthode a été développée par l’ANSSI, en collaboration avec
d'autres acteurs du monde de la sécurité informatique.
 NIST (National Institute of Standards and Technology) : C'est une agence
gouvernementale américaine. Bien que NIST ne soit pas considéré comme un logiciel,
cette agence est renommée pour son travail en matière de normes et de lignes directrices
dans le domaine de la cybersécurité, de la technologie de l'information et de mesure.
NIST a également développé de nombreux outils logiciels et autres ressources pour
aider les développeurs, les ingénieurs et les scientifiques à travailler plus efficacement
et à créer des systèmes plus fiables et plus sécurisés.
Le National Institute of Standards and Technology (NIST) a développé plusieurs

logiciels pour la cybersécurité, notamment :
 Le Framework NIST : il contribue à l'amélioration de la cybersécurité des

infrastructures critiques (Cybersecurity Framework) qui fournit des directives pour
améliorer la sécurité des réseaux, des systèmes et des organisations.
 NIST Special Publication : (SP) 800-53 : il est un ensemble de normes de sécurité
informatique qui définit les contrôles de sécurité pour les technologies de l'information.
 NIST SP 800-171 : il fournit des recommandations pour la protection des informations
non classifiées, mais stockées dans des systèmes d'information non fédéraux.
 NIST SP 800-88 : il définit les normes pour la destruction des données lorsqu'un disque
dur est retiré ou remplacé.
Ces logiciels et normes NIST sont largement utilisés dans l'industrie de la sécurité
informatique pour aider les organisations à renforcer leur sécurité et leur conformité aux
réglementations.
19
 ISO 27001 est une norme internationale de gestion de la sécurité de l'information.

Elle fournit un cadre pour établir, mettre en œuvre, maintenir et améliorer un
système de gestion de la sécurité de l'information au sein d'une organisation.
L'objectif de l'ISO 27001 est de protéger les informations sensibles et
confidentielles, en garantissant la confidentialité, l'intégrité et la disponibilité des
données. Cette norme fournit des directives pour identifier les risques, mettre en
place des mesures de sécurité appropriées et établir des processus de gestion
continue de la sécurité de l'information.
III.2- Choix et justification de la solution
Afin de résoudre les problèmes de vulnérabilité identifiés, nous avons choisi d'utiliser
l'outil Ebios-RM. Cette décision repose sur plusieurs facteurs. Tout d'abord, cet outil est
disponible en français, ce qui facilite la compréhension de son fonctionnement. De plus, il
propose une boîte à outils adaptable, permettant de l'ajuster en fonction des objectifs spécifiques
du projet. Enfin, il est compatible avec les référentiels normatifs actuels en matière de gestion
des risques et de sécurité numérique.
Ebios RM est un outil qui permet d'évaluer les risques numériques et de déterminer les
mesures de sécurité nécessaires pour les contrôler et les minimiser. Elle permet aussi de valider
le niveau de risque acceptable et de s’inscrire à plus long terme dans une démarche
d’amélioration continue. Enfin, cette méthode permet de faire émerger les ressources et
arguments utiles à la communication et à la prise de décision au sein de l’organisation et vis-à-
vis de ses partenaires.
En résumé, ce chapitre a examiné les divers aspects de la sécurité informatique, y

compris les différentes menaces et attaques susceptibles de nuire aux objectifs ou à la mission
du CENADI. Dans ce contexte, les pares-feux et les IDS sont des solutions adéquates pour
renforcer la protection des systèmes d'information. La prochaine étape de notre travail consiste
à valider les solutions proposées en décrivant l'environnement d'Ebios-RM et en décrivant la
méthodologie à suivre.
20
CHAPITRE II :
PRÉSENTATION DES
SOLUTIONS ET DESCRIPTION
DE LA MÉTHODOLOGIE
21
CHAPITRE II : PRÉSENTATION DES SOLUTIONS ET

DESCRIPTION DE LA MÉTHODOLOGIE
Le gestionnaire de risques EBIOS (EBIOS RM) est une méthode d'évaluation et de
traitement des risques numériques publiée par l'ANSSI avec le soutien du Club EBIOS. Cette
plateforme de gestion des risques nous permettra d'effectuer une gestion efficace des risques
cyber au sein du CENADI. Dans la section suivante, nous débuterons par une présentation du
fonctionnement de la gestion des risques cyber, puis nous conclurons par une description
méthodologique approfondie de l'EBIOS-RM.
I- PRÉSENTATION DU FONCTIONNEMENT DE LA
GESTION DES RISQUES CYBER AVEC EBIOS-RM
Ebios-RM propose une boîte à outils adaptable pour gérer les risques et assurer la
sécurité numérique. Cette méthode permet d'évaluer les risques et de mettre en place des
mesures de sécurité. Elle permet également de déterminer les niveaux de risque acceptables et
d'améliorer continuellement les pratiques. De plus, elle facilite la communication et la prise de
décision au sein de l'organisation et avec les partenaires. Cette méthode peut être utilisée pour
mettre en place ou renforcer la gestion des risques numériques, évaluer les risques des projets
numériques, et définir les niveaux de sécurité nécessaires pour les produits ou services. Elle
convient à tous types d'organisations, qu'elles soient publiques ou privées, peu importe leur
taille ou leur secteur d'activité. La méthode Ebios-RM adopte une approche hiérarchique en
commençant par les grandes missions et en se focalisant progressivement sur les compétences
métier et techniques. Elle cherche à combiner la conformité et les scénarios de risque pour
apporter une valeur ajoutée maximale. L’environnement de cet outil de gestion des risques se
présente comme sur la figure ci-dessous.
22
Figure 6 : Interface EBIOS-RM
Cette démarche est symbolisée par la pyramide du management du risque numérique

suivante (figure 7).
23
Figure 7 : Pyramide du management du risque numérique7
On utilise l'approche par conformité pour déterminer la base de sécurité sur laquelle repose
l'approche par scénarios pour créer des scénarios de risque spécifiques ou complexes. Cela
signifie que les risques accidentels et environnementaux sont traités en priorité grâce à
l'approche par conformité dans la base de sécurité. L'évaluation des risques par scénarios, selon
la méthode Ebios-RM, se concentre donc sur les menaces intentionnelles. Ebios-RM est une
méthode qui suit une démarche itérative en cinq étapes, que nous décrirons dans la suite de
notre travail.
7
Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) publié en 2018. « Méthodes-
ebios_Projet ».pdf. Publier en France. p.5
24
ll- DESCRIPTION MÉTHODOLOGIQUE D’EBIOS-RM8
La méthode Ebios-RM suit une approche itérative où cinq ateliers sont organisés selon la
méthodologie suivante :
II.1- Atelier 1 : Cadrage et socle de sécurité

Le cadrage et le socle de sécurité de base ont pour but de déterminer ce dont nous allons
étudier et qui participera aux ateliers quand cela se déroulera. Pendant cet atelier, nous
répertorierons les objectifs, les valeurs métier et les ressources liées à l'étude. Nous identifierons
les événements redoutés liés aux valeurs métier et évaluerons à quel point ils sont graves. Nous
définirons également les fondements de sécurité et les différences éventuelles.
II.1.1) Les objectifs de l’atelier

Le premier atelier a pour objectif de déterminer les limites de l'étude, son domaine
d'application professionnel et technique, les événements redoutés qui y sont liés, ainsi que les
fondements de la sécurité. La tenue de cet atelier est nécessaire avant d'évaluer les risques.
II.1.2) Les participants à l’atelier

 Direction ;
 Métiers ;
 Responsable de la sécurité des systèmes d’information (RSSI) ;
 Direction des systèmes d’information (DSI).
La période à considérer pour cet atelier est celle du cycle stratégique.
II.1.3) Les données de sortie

À l’issue de l’atelier, nous allons identifier :
 les éléments de cadrage : objectifs visés, rôles et responsabilités, cadre temporel ;
 le périmètre métier et technique : missions, valeurs métier, biens supports ;
 les événements redoutés et leur niveau de gravité ;
 le socle de sécurité : liste des référentiels applicables, état d’application, identification
et justification des écarts.
8
25
II.1.4) Les étapes de l’atelier

Cet atelier peut par exemple se dérouler sur une à trois séances d’une demi-
journée. L’objectifs pour nous ici sera de :
 définir le cadre de l’étude ;
 définir le périmètre métier et technique de l’objet étudié ;
 identifier les événements redoutés et évaluer leur niveau de gravité ;
 déterminer le socle de sécurité.
II.1.5) Comment procéder ?

La procédure de cet atelier se fait de la façon suivante :
 Définir le cadre de l’étude : Pour commencer l'atelier, on va se mettre d'accord sur les
objectifs de l'étude. On peut par exemple envisager de mettre en place une gestion des risques
cyber au CENADI, valider un système d'information ou encore, déterminer le niveau de sécurité
à atteindre pour obtenir une certification produite.
 Définir le périmètre métier et technique

Dans un deuxième temps, Nous recensons les missions, valeurs métier et biens supports
relatifs à l’objet de l’étude.
Nous recensons ensuite l’ensemble des valeurs métier associées à l’objet de l’étude, à
savoir les informations ou processus jugés importants, dans le cadre de l’étude, et qu’il convient
de protéger.
Ensuite Nous listons les biens supports relatifs à chaque valeur métier. Il s’agit des
éléments du système d’information sur lesquels les valeurs métier reposent. Pour cela, nous
allons nous appuyer sur la cartographie du système d’information de l’organisme.
 Identifier les événements redoutés

L'identification et la description des événements redoutés aident les personnes à
comparer objectivement l'importance de leurs missions et valeurs métier tout en prenant
conscience des enjeux de sécurité.
26
II.2- Atelier 2 : Sources de risque

II.2.1- Les objectifs de l’atelier
Dans le deuxième atelier, nous allons identifier et caractériser les sources de risque (SR)
et leurs objectifs visés (OV). Les couples SR/OV jugés les plus pertinents sont retenus au terme
de cet atelier. Les résultats sont formalisés dans une cartographie des sources de risque.
II.2.2- Les participants à l’atelier

Il s’agit notamment de :
 Direction (au minimum lors de la dernière étape de l’atelier) ;
 Métiers ;
 RSSI ;
II.2.3- Les données de sortie

À l’issue de l’atelier, nous allons établir les éléments suivants :
 la liste de couples SR/OV prioritaires retenus pour la suite de l’étude ;
 la liste des couples SR/OV secondaires susceptibles d’être étudié dans un second temps
et qui feront, si possible, l’objet d’une surveillance attentive ;
 une cartographie des sources de risque.
II.2.4- Les étapes de l’atelier

Il s’agit de :
 identifier les sources de risque et les objectifs visés ;
 évaluer les couples SR/OV ;
 sélectionner les couples SR/OV jugés prioritaires pour poursuivre l’analyse
II.2.5- Comment procéder ?

Pour mener cet atelier, nous avons besoin de connaitre les missions et les valeurs métier
de l’objet étudié, issus de l’atelier 1.
 Identifier les sources de risque et les objectifs visés
Pour chaque catégorie de source de risque, nous allons déterminer le profil de l’attaquant
et les types d’objectifs qu’on cherche à atteindre. Une source de risque peut parfois engendrer
plusieurs couples SR/OV, ayant différents objectifs visés.
27
 Évaluer les couples SR/OV

Le but est de trouver, parmi toutes les sources de risques et objectifs recensées, celles
qui sont les plus pertinentes. Les critères d’évaluation que nous allons utiliser sont :
 la motivation de la source de risque à atteindre son objectif ;
 ses ressources (financières, compétences, infrastructures d’attaque) ;
 son activité (est-elle active dans le périmètre de l’objet de l’étude, dans l’écosystème ?).
 Sélectionner les couples sr/ov retenus pour la suite de l’analyse

En nous basant sur les travaux précédents, nous allons terminer l'atelier en choisissant
les couples SR/OV qui seront utilisés pour la suite de l'étude. Un critère de sélection important
est bien-sûr le niveau de pertinence évalué lors de l'étape précédente.
II.3- Atelier 3 : Scénarios stratégiques

Dans l’atelier 3, nous allons acquérir une vision claire de l’écosystème et établir une
cartographie de menace numérique de celui-ci vis-à-vis de l’objet étudié. Ceci va nous
permettre de bâtir des scénarios de haut niveau appelés scénarios stratégiques. Ils représentent
les chemins d’attaque qu’une source de risque est susceptible d’emprunter pour atteindre son
objectif. Ces scénarios se conçoivent à l’échelle de l’écosystème et des valeurs métier de l’objet
étudié. Nous les avons évalués en termes de gravité.

L’objectif de l’atelier 3 est de disposer d’une vision claire de l’écosystème, afin d’en
identifier les parties prenantes les plus vulnérables. Il s’agit ensuite de bâtir des scénarios de
haut niveau, appelés scénarios stratégiques.
Nous allons aborder cet atelier comme une étude préliminaire de risque. Il conduit à
identifier les mesures de sécurité à appliquer vis-à-vis de l’écosystème. Les scénarios
stratégiques retenus dans l’atelier 3 constituent la base des scénarios opérationnels de l’atelier
4.
II.3.2.) Les participants à l’atelier

Il s’agit de :
 Métiers ;
 Architectes fonctionnels ;
 RSSI ;
28
 Un spécialiste en cybersécurité complètera éventuellement notre groupe de travail, selon

le niveau de connaissance de l’équipe et le degré d’affinement visé.

À l’issue de l’atelier, nous allons établir et identifier les éléments suivants :
 la cartographie de menace numérique de l’écosystème et les parties prenantes critiques;
 les scénarios stratégiques et événements redoutés ;
 les mesures de sécurité retenues pour l’écosystème.

Pour cet atelier d’une durée variable, nous allons suivre les étapes suivantes :
- construire la cartographie de menace numérique de l’écosystème et sélectionner les parties
prenantes critiques ;
- élaborer des scénarios stratégiques ;
- définir des mesures de sécurité sur l’écosystème.

Pour mener cet atelier, nous avons :
 Construis la cartographie de menace numérique de l’écosystème et sélectionné les
parties prenantes critiques
On dit qu'une partie prenante est critique dès lors qu'elle peut être utilisée pour attaquer
l'objet étudié en raison de son accès privilégié ou de sa vulnérabilité. Notre objectif est
d'identifier ces parties prenantes critiques afin de les prendre en compte lors de l'élaboration de
nos plans stratégiques. Tout d'abord, nous allons évaluer le niveau de menace que chaque partie
prenante de l'écosystème représente pour l'objet étudié. Ensuite, nous allons créer une carte de
la menace numérique de l'écosystème qui mettra en évidence toutes les parties prenantes
importantes en fonction de leur niveau de menace pour l'objet de l'étude.
 Élaborer des scénarios stratégiques
Dans l’étape précédente, nous avons construit la cartographie de menace numérique de
l’écosystème et sélectionné les parties prenantes critiques. L’objectif est maintenant d’imaginer
des scénarios réalistes de haut niveau, indiquant de quelle façon un attaquant pourrait procéder
pour atteindre son objectif. Il peut par exemple profiter de l'écosystème en manipulant certains
29
processus métiers. On identifie ces scénarios dits stratégiques par déduction. Pour cela, les
éléments d'analyse des étapes précédentes sont utiles.
 Définir des mesures de sécurité sur l’écosystème
Les travaux précédents pourraient avoir mis en évidence les faiblesses liées aux
collaborateurs internes et externes du CENADI que les attaquants essayeront d'exploiter pour
atteindre leurs objectifs. Il se peut aussi qu'on ait identifié un scénario où le CENADI sera
indirectement impacté par une cyberattaque visant l'un de ses partenaires. La dernière partie de
l'atelier 3 consiste à trouver des solutions pour réduire ces risques et les transformer en mesures
de sécurité. Ces mesures auront pour but de diminuer la menace inhérente provenant de
collaborateurs critiques (par exemple, en réduisant la dépendance envers un sous-traitant). Elles
pourront également influer sur le déroulement des scénarios stratégiques.
II.4- Atelier 4 : Scénarios opérationnels
II.4.1) Objectif de l’atelier

L’objectif de l’atelier 4 est de construire des scénarios opérationnels. Ils schématisent
les modes opératoires que pourraient mettre en œuvre les sources de risque pour réaliser les
scénarios stratégiques. Cet atelier adopte une démarche similaire à celle de l’atelier précédent
mais se concentre sur les biens supports. Les scénarios opérationnels obtenus sont évalués en
termes de vraisemblance. À l’issue de cet atelier, nous allons réaliser une synthèse de
l’ensemble des risques de l’étude. La période à considérer pour cet atelier est celle du cycle
opérationnel. La période à considérer pour cet atelier est celle du cycle opérationnel.

Il s’agit de :
 RSSI ;
 DSI ;

À l’issue de cet atelier, nous avons établi uniquement la liste des scénarios opérationnels
et leur vraisemblance.

Il s’agit de :
 élaborer les scénarios opérationnels ;
 évaluer leur vraisemblance.
30

Pour mener cet atelier, nous allons :
 Élaborer les scénarios opérationnels
Nous allons construire les scénarios opérationnels en nous basant sur les scénarios
stratégiques retenus dans l’atelier 3 et en nous appuyant sur la cartographie du système
d’information. Une bonne approche consiste à représenter nos scénarios sous la forme de
graphes ou de schémas d’attaque.
Le schéma ci-après présente le mode opératoire type d’une attaque dite par « point d’eau
» dont l’objectif est de permettre à une source de risque d’établir un canal d’exfiltration de
données.
 Évaluer la vraisemblance des scénarios opérationnels
Pour chaque scénario opérationnel, nous allons évaluer sa vraisemblance globale, qui
reflète sa probabilité de réussite ou sa faisabilité.
Pour rappel, la gravité du scénario opérationnel correspond à la gravité du scénario
stratégique associé et évaluée lors de l’atelier 3.
L’évaluation confronte d’une part les ressources et la motivation présumée de la source
de risque et d’autre part le socle de sécurité de l’objet étudié et le niveau de vulnérabilité de
l’écosystème (surface d’attaque exposée, vulnérabilités structurelles et organisationnelles,
capacités de détection et de réaction, etc.)
II.5- Atelier 5 : Traitement du risque

Dans cet atelier, on a pour buts de réaliser une synthèse des scénarios de risque
identifiés et de définir une stratégie de traitement du risque. Cette stratégie va aboutir à la
définition de mesures de sécurité recensées dans un plan d’amélioration continue de la sécurité
(PACS). Les risques résiduels sont ensuite identifiés ainsi que le cadre de suivi de ces risques.

Les participants sont les mêmes que ceux de l’atelier 1 :
 Direction ;
 Métiers ;
 RSSI ;
 DSI.
31

À l’issue de l’atelier, nous allons définir les éléments suivants :
 la stratégie de traitement du risque ;
 la synthèse des risques résiduels ;
 le plan d’amélioration continue de la sécurité ;
 le cadre du suivi des risques.

Cet atelier qui est d’une durée variable nécessite les étapes suivantes :
 réaliser la synthèse des scénarios de risque ;
 définir la stratégie de traitement du risque et les mesures de sécurité ;
 évaluer et documenter les risques résiduels ;
 mettre en place le cadre de suivi des risques.
II.5.5) Comment procéder

Pour mener cet atelier, nous avons besoin de connaitre :
 le socle de sécurité (atelier 1) ;
 les scénarios stratégiques (atelier 3) ;
 les mesures de sécurité portant sur l’écosystème (issues de l’atelier 3) ;
 les scénarios opérationnels (atelier 4).
 Réaliser une synthèse des scénarios de risque

Nous réaliserons d’abord une synthèse des scénarios de risque identifiés. Une repré-
sentation simple de ces scénarios facilitera leur exploitation par la suite. Ces scénarios sont le
plus souvent positionnés sur une grille, un radar ou un diagramme de Farmer selon leurs niveaux
de gravité et de vraisemblance.
 Décider de la stratégie de traitement du risque et définir les mesures de sécurité
Nous allons convenir les seuils d'acceptation du risque et déterminer un niveau de
sécurité à atteindre en cas de refus pour chaque scénario de risque. Cette décision sera établie
dans la stratégie de gestion des risques.
Exemple : des classes d’acceptation couramment utilisées en management du risque.
32
Tableau 2 : classe d’acceptation couramment utilisé en management du risque9.

NIVEAU DE RISQUE ACCEPTABILITÉ DU INTITULÉ DES DÉCISIONS
RISQUE ET DES ACTIONS
Aucune action n’est à
Faible Acceptable en l’état entreprendre
Un suivi en termes de gestion du
risque est à mener et des actions
Moyen Tolérable sous contrôle sont à mettre en place dans le
cadre d’une amélioration
continue sur le moyen et long
terme
Des mesures de réduction du
risque doivent impérativement
Élevé Inacceptable être prises à court terme. Dans le
cas contraire, tout ou partie de
l’activité sera refusé
Une fois la stratégie de traitement validée pour chaque scénario, définir les mesures
de sécurité associées pour le traiter. Il peut s’agir de mesures ad hoc liées au contexte d’emploi
et de menace, ou du renforcement de mesures comprises dans le socle de sécurité. Elles viennent
compléter les mesures sur l’écosystème identifiées dans l’atelier 3.
 Évaluer et documenter les risques résiduels
L’évaluation des risques résiduels (RR) intervient après l’application des mesures de
traitement que nous avons définies dans l’étape précédente.
L’exemple du document des risques résiduels se présente selon le modèle suivant :
99
33
Tableau 3 : exemple de modèle d’évaluation des risques résiduel10.

RR01 — LIBELLÉ DU RISQUE RÉSIDUEL : […]
Description et analyse du risque résiduel :
Description sommaire (dont impacts à craindre)
Vulnérabilités résiduelles susceptibles d’être exploitées par la source de risque
Autres causes ou facteurs aggravants (négligence, erreur, concours de circonstance, etc.)
Événements redoutés concernés :

Événement redouté 1
Événement redouté 2
[…]
Mesures de traitement du risque existantes et complémentaires :

Mesure 1
Mesure 2
[…]
Évaluation du risque résiduel :

Gravité initiale : Vraisemblance Niveau de risque initial :
initiale :
Gravité résiduelle : Vraisemblance Niveau de risque résiduel :
résiduelle :
Gestion du risque résiduel :
Mesures particulières de suivi et de contrôle du risque résiduel.
 Mettre en place le cadre de suivi des risques

Le suivi des risques en gestion du risque doit se baser sur des indicateurs de pilotage
afin d'assurer la sécurité. Ces indicateurs permettent de vérifier l'efficacité des mesures prises
et leur adaptation à la menace. Une fois ces indicateurs identifiés, nous allons définir le
processus d'amélioration continue de la sécurité et sa gouvernance associée (organisation, rôles
et responsabilités, comités).
En somme, où il était question de proposer des solutions, notre travail révèle que les
différents ateliers d'Ebios-RM abordent divers aspects de l'analyse des risques. Ils traitent
souvent des domaines spécifiques tels que l'identification des actifs, l'évaluation des menaces,
la détermination des vulnérabilités, l'estimation des risques et la définition de mesures de
sécurité appropriées. Ces ateliers sont interconnectés, car ils font tous partie intégrante du
processus global d'analyse des risques d'Ebios-RM. Ils sont conçus pour être utilisés de manière
10
34
cohérente et complémentaire afin de permettre une évaluation complète des risques liés à la
sécurité de l'information et de recommander des mesures d'atténuation adaptées. Après avoir
compris le fonctionnement de chaque atelier, dans le prochain chapitre nous aborderons leur
mise en œuvre en prenant le cas du CENADI.
35
CHAPITRE III :
VALIDATION DE LA
SOLUTION
36
CHAPITRE III : VALIDATION DE LA SOLUTION
I- IMPLÉMENTATION DES SOLUTIONS

Dans cette partie, nous allons définir les éléments de chaque Atelier qui nous
permettront de les implémenter dans notre outil de gestion de risque EBIOS-RM.
I.1- Atelier 1 : Cadrage et Socle de sécurité

Dans cet atelier nous allons identifier dans des tableaux la société et mission, sa valeur
métier, les biens et support associé, le Scénario de risque, les évènements redoutés, et le socle
de sécurité que nous allons déployer sur notre outil.
Tableau 4: Identification Société et Mission11

Structure CENADI
Adresse BP BOX : 13 750
Contact contact@cenadi.cm et (+237) 222 235 965
Mission principale Traitement de la solde de l'Etat du Cameroun
Entité personne - DIRECTEUR du CENADI
responsable - DIVISION DE LA TÉLÉINFORMATIQUE ET DE LA
BUREAUTIQUE (DTB)
- chef Etude n°1 M. Bella Patrick
-responsable de la sécurité de l’information M. PETOU Saha
Yannick
Tableau 5: identification de la valeur métier

Dénomination valeur Division de la Téléinformatique et de la Bureautique (DTB)
métier
Mission Traitement de la solde de l'Etat du Cameroun
Nature valeur métier Processus
Description La DTB est chargée de définir et de gérer de façon exclusive les
banques d’information implantées dans les services publics, para
publics et éventuellement privés et les organismes parapublics ainsi
que les réseaux nationaux de transmission de données.
Entité personne Chef de division M. YAMB MAÏ Simon Pierre
responsable
11
Centre National de Développement de l’Informatique, 2023, « Présentation du CENADI », pp.2-4
37
Tableau 6: Identification de l’actif et bien support associé12

Périmètre : Salle TIGRE
Actifs Justification de la valeur (faire une description)

informationnels
Porte Une porte de la salle de la couche accès réseau peut être décrite comme étant
une ouverture physique qui permet l'entrée ou la sortie de la salle.
Prise murale Une prise murale de la couche d'accès réseau, également connue sous le nom
de prise réseau ou prise Ethernet, est un dispositif qui permet de connecter un
appareil électronique (un ordinateur, une imprimante, une console de jeu, etc.)
à un réseau local ou à internet. Cette prise murale est généralement équipée d'un
connecteur RJ45 qui permet de brancher un câble Ethernet.
Goulotte La goulotte est une composante physique qui fait partie de l'infrastructure de
communication d'un réseau. Elle est utilisée pour acheminer et protéger les
câbles de communication, tels que les câbles Ethernet, les câbles téléphoniques,
les fibres optiques, etc. La goulotte est souvent installée le long des murs ou
des plafonds d'un bâtiment pour offrir un moyen ordonné de distribuer les
câbles aux différents points d'accès.
Panneau de Un panneau de brassage de la couche d'accès réseau est un dispositif important
brassage pour organiser les connexions physiques dans un réseau informatique, facilitant
ainsi la gestion et la maintenance des câbles et des connexions.
Switch Cisco C'est un organe principal de la salle Tigre. Il est utilisé pour fournir une
2960 connectivité réseau fiable et sécurisée aux appareils situés au niveau de l'accès
ou des utilisateurs finaux du réseau.
Switch Cisco Le commutateur Cisco 9500 est un dispositif de couche de distribution qui offre
9500 des performances élevées, une connectivité fiable entre la salle Tigre et la salle
serveur du CENADI.
Baie Baie Legrand 42U est une armoire de taille standard pour le stockage et la
LEGRAND gestion des équipements réseaux.
42U
Climatiseur Le climatiseur Nagu n'est pas directement lié à la technologie ou à la couche
NAGU d'accès réseau. Mais il joue un rôle très important. Il gère l'effet joule pour éviter
que les équipements de la salle Tigre surchauffent.
12
Enquêtes de terrain
38
Tableau 7 : Scénario de risque lié aux actifs identifié avec analyse d’impact sur les trois standards du system d’information : la disponibilité,
l’intégrité et la confidentialité du CENADI13
Actifs Scénario de Risque Menace Vulnérabilité Impact Disp Int Conf
onib égr ident
ilité ité ialité
Porte Une personne non autorisée tente Accès non autorisé Système de verrouillage Interruption du
de pénétrer dans la salle Tigre en faible. service.
contournant les mesures de X
sécurité.
Un individu malveillant tente de Vol ou vandalisme Environnement non Perte de données
voler ou de causer des dommages surveillé. sensibles.
aux équipements de la salle X X
serveur.
Une organisation concurrente peut Espionnage Utilisation de badges Dommages
chercher à obtenir des industriel d'accès non sécurisés financiers et
informations sensibles ou réputation du X
confidentielles en accédant à la CENADI.
salle Tigre
Baie En cas d'incendie, la baie et les Incendie Absence de système de Interruption du
LEGRA équipements qu'elle contient détection et d'extinction service et des pertes
ND 42U pourraient être détruits automatique d'incendie à de données X X
proximité de la baie. importantes.
En cas de surchauffe des Défaillance du Système de Il y a un risque de

équipements dans la baie système de refroidissement dysfonctionnement,
refroidissement insuffisant ou absence de dommages
d'une surveillance matériels ou de perte
adéquate de la de performance. X
température de la baie.
13
Compilation des données observées dans la structure
40
Un accès non autorisé à la baie Accès non autorisé Absence d'un contrôle Pourrait entraîner un
d'accès physique adéquat, vol ou une
comme des serrures de modification
haute sécurité ou un accès malveillante des
limité aux personnes équipements et des
autorisées. données stockées,
compromettant ainsi X X
la sécurité et
l'intégrité du
système.
switch La défaillance du switch Cisco Panne matérielle Versions logicielles Perte de données.
Cisco 2960 obsolètes :
2960
X
switch Défaillance du switch Cisco 9500
Interruption de la Arrêt du plan de Impact financier :
Cisco solde de l’État. continuité des activités. L'interruption des
9500 services et la perte de
données peuvent
entraîner des coûts X X
financiers
considérables le
CENADI.
Panneau Panne du panneau de brassage Défaillance Absence de maintenance Interruption de la
de matérielle du régulière et préventive du connectivité réseau
brassage panneau de panneau de brassage. dans la salle Tigre,
brassage. entraînant une baisse X
ou une perte de
service.
Goulotte Une fuite d'eau causée par une Défaillance de Absence de mesures - Coûts élevés de
rupture d'une conduite d'eau l'équipement de préventives, telles qu'un réparation et de
adjacente. plomberie, système de détection de remplacement des
41
entraînant une fuite fuites ou des barrières équipements

d'eau. physiques pour limiter les endommagés. X
dommages causés par une - Perte de données
fuite. critiques.
Prise Perte de connectivité Ethernet dans Défaillance du Absence de redondance Indisponibilité des
murale la salle serveur. matériel réseau, tels services
que les câbles, les
commutateurs, les
cartes réseau, etc.
X
Erreur humaine : Absence de surveillance : Perte de données
L'absence de surveillance
proactive du réseau peut
retarder la détection des X
anomalies ou des pannes.
Attaques Mauvaise gestion des Retard dans les
malveillantes : câbles : opérations : X
42
Tableau 8: Définition des évènements redoutés14

Evènement 1
Valeur métier Division de la Téléinformatique et de la Bureautique (DTB)
Evènement Redouté Détournement du bulletin de solde
Impact - dégradation de notre pays le Cameroun
- pertes financières
Choix de gravité Critique
Evènement Redouté 2
Evènement Redouté Échec de l'acheminement des données : Si la couche d'accès réseau ne
parvient pas à acheminer correctement les données.
Impact - Délais ou interruption de service : L'échec de transmission des données
peut entraîner des retards dans les réponses ou même une interruption
complète du service, rendant le CENADI temporairement indisponible.
- Perte de confiance de l'État envers le CENADI
- Perte de productivité
Evènement Redouté Panne matérielle : Les équipements de la couche d'accès réseau peuvent
rencontrer des pannes matérielles, telles que des défaillances de
commutateurs, de routeurs ou de câbles.
Impact - Interruption du réseau.
- Perte de productivité : Les tâches peuvent prendre plus de temps à être
effectuées, voire ne pas pouvoir être effectuées du tout pendant la panne.
- Suspension des opérations, ce qui peut causer une interruption
significative des services ou des processus du CENADI
Evènement Redouté Piratage de la Plateforme technique du CENADI
Impact - Coûts financiers : La remédiation après un piratage peut être coûteuse.
- Fuite de données sensibles : Les pirates peuvent accéder, voler et
divulguer des informations confidentielles telles que des données
clients, des données d'identification personnelle.
- Risque accru de piratage ultérieur
14
43
Tableau 9: Analyse et définition du socle de sécurité15

Socle de sécurité 1
Nom du référentiel ISO 27002
Type du référentiel Guide de bonne pratique pour le management de la sécurité de
l'information
Etat Applicatif Appliqué avec restrictions
Écart Règle 17.2: garantir la disponibilité des moyens de traitement de
l'information. Il convient de mettre en œuvre les moyens de
traitement de l'information avec suffisamment de redondance pour
répondre aux exigences de disponibilité.
Justification écart Effectivement une politique de redondance n'est pas vraiment
implémentée au niveau des équipements de la salle Tigre. La
redondance est implémentée uniquement au niveau des fibres
optique. La norme exige la redondance
Socle de sécurité 2
Nom du référentiel ISO 27002
Type du référentiel Guide de bonne pratique pour le management de la sécurité de
l'information
Etat Applicatif Appliqué avec restrictions
Écart Règle 17.3: Il permet de définir les périmètres de sécurité servant à
protéger les zones contenant des informations sensibles ou critiques
et les moyens de traitement de l'information.
Justification écart Zone sécurisée mais pas de présence de gestion de la clé.
I.2- Atelier 2 : Source de risque

Dans cet atelier nous identifierons les sources de risque et les objectifs visés.
 Identification des sources de risques
- Accès non autorisé
- vol ou vandalisme
15
44
- Panne matérielle du switch
- plan de continuité d'activité
- hacktiviste
- Attaque interne
Tableau 10 : Analyse et identification des objectifs visés16

1 2 3 4
Source de risque Attaque interne hacktiviste Panne matérielle Vol ou
du switch vandalisme
Objectif visé Avoir accès aux Divulgation des Paralyser la Interruption des
données informations couche accès opérations
sensibles sensible ou réseau du
confidentiel CENADI
Motivation 3 (élevé) 3 3 3
Ressource 3 (élevé) 3 3 3
Activité 3 (élevé) 3 3 3
Pertinence 3 (élevé) 3 3 3
proposée
Pertinence 3 (élevé) 2 (moyenne) 2 3
retenue
I.3- Atelier 3 : Scénarios Stratégiques

Cet atelier se fait en 5 modules, nous allons définir comme suit :
 MODULE 1 : Catégorie
Il s’agit ici des actifs qui vont nous permettre au module suivant d’évalué le niveau de
gravité d’exposition et leurs fiabilité.
- Porte
- Switch 2960
16
45
 MODULE 2 : Partie prenante
Nous allons définir les parties de chaque catégorie et évalué leurs niveau de gravité.
- Catégorie : Porte ; Switch
- Partie prenante : Division de la Téléinformatique et de la Bureautique (DTB)
- Exposition : grave
- Fiabilité Cyber : significatif
 MODULE 3 : Cartographie partie prenante
Ce module prend en compte les données du module 2 pour ressortir une cartographie
des parties prenantes.
 MODULE 4 : Chemin d’Attaque
Nous allons définir les chemins d’attaque possible.
- Source de risque : Accès non autorisé
- Objectif visé : Avoir accès aux données sensibles
- Chemin d’attaque : Une personne non autorisée tente de pénétrer dans la salle Tigre en
contournant les mesures de sécurité qui constituent la porte principale de la salle Tigre.
- Partie prenante : Division de la Téléinformatique et de la Bureautique (DTB)
- Choix de la gravité : Critique
 MODULE 5 : Mesure de Sécurité
Pour atténuer ces risques, il est recommandé de mettre en place les mesures suivantes :
 Pour la porte :
- Utilisation les portes solides, résistantes aux effractions avec des serrures/verrous de haute
sécurité.
- Installation de systèmes d'accès sécurisés tels que des systèmes de carte ou de code d'accès,
avec des protocoles de gestion appropriés.
 Pour les équipements réseaux :
46
- Mettre en place une redondance réseau pour assurer la continuité des services en cas de panne.
- Mettre en place un système de supervision et d'alerte pour détecter rapidement toute panne ou
anomalie du réseau.
- Sauvegarder régulièrement les données critiques afin de minimiser les pertes en cas de sinistre.
En outre nous avons énuméré plusieurs autres mesures de sécurité notamment sur le
plan physique, administratif, et technique.
 Sur le plan physique

Pour gérer les risques, il est important :
- de mettre en place des mesures de sécurité physique telles que des systèmes anti-incendie,
des alimentations électriques de secours, des sauvegardes régulières des données, l’instauration
d’un système biométrique, le renforcement de la sécurité des portes et fenêtres, la mise en
application des télévisions en circuit fermé, l’accès sécurisé à la bai, etc.
- Protéger l'accès physique aux infrastructures en utilisant des systèmes de contrôle d'accès
comme des badges, des serrures à carte ou des dispositifs biométriques.
- Mettre en place une surveillance vidéo pour détecter les accès non autorisés.
- Installer des systèmes de détection d'intrusion pour repérer les tentatives de violation
physique des locaux.
- Assurer une gestion stricte des clés et des équipements sensibles pour éviter les vols.
 Sur le plan administratif

Pour gérer les risques administratifs, il est important de :
- Former régulièrement le personnel sur les meilleures pratiques de sécurité informatique.
- Mettre en place une procédure pour pouvoir toucher les switches
- Établir des politiques de sécurité claires concernant l'utilisation des systèmes informatiques,
l'accès aux données sensibles, etc.
- Mettre en place des contrôles d'accès et des autorisations appropriées pour limiter l'accès
aux informations critiques.
47
- Effectuer des audits et des évaluations régulières de la sécurité pour identifier les
vulnérabilités et les risques potentiels.
- Mettre en place des procédures de sauvegarde régulières et des plans de réponse aux
incidents pour faire face aux cyberattaques ou aux situations d'urgence.
 Sur le plan technique

Pour gérer les risques, il est important de :
- Mettre en place un monitoring
- Utiliser des solutions de pare-feu et de sécurité des réseaux pour protéger le système et limiter
les attaques.
- Installer des logiciels antivirus et les maintenir à jour pour détecter les programmes
malveillants et les menaces potentielles.
- Mettre en place des systèmes de détection d'intrusion et de prévention des intrusions pour
surveiller activement les activités suspectes.
- Crypter les données sensibles pour empêcher leur accès non autorisé.
- Mettre en place des mécanismes de sauvegarde et de restauration pour garantir la

disponibilité des données en cas de panne ou de sinistre.
II- TEST ET RÉSULTATS
Dans cette partie, nous allons présenter d’abord l’interface de l’outil EBIOS-RM que
nous avons utilisé pour la gestion des risques du CENADI. Par la suite nous allons présenter le
résultat obtenu de chaque atelier.
II.1- Résultat atelier 1 : Cadrage et socle de sécurité

Les résultats que nous avons obtenus dans cet atelier sont présentés selon les images
suivantes :
48
Figure 8: Interface atelier 1
Figure 9 : Résultat société et mission
Il s’agit des informations propres à la structure telle que le nom, l’adresse, le contact, et la
mission de la structure,
49
Figure 10: Résultat entité et personne responsable
Ci-déçu il s’agit des personnes qui ont accès à la salle TIGRE.
Figure 11: Résultat valeur métier
La valeur métier ici fait allusion à un service, une fonction support, une étape dans un
projet et toute information ou savoir-faire associé.
50
Figure 12 : Résultat bien support associé
Les biens support associé renvoie aux actifs que nous avons identifié dans la salle
TIGRE et les personne responsable de ces actifs.
51
Figure 13 : Résultat événement redouté et impact
Les événements redoutés se rapportent à l’impact d’une attaque sur une valeur métier.
Chaque événement redouté est évalué selon le niveau de gravité des conséquences.
Figure 14: Résultat socle de sécurité
52
Dans le socle de sécurité il s’agit de ressortir l’écart et la justification de l’écart avec

leurs niveaux d’application.
II.2- Résultat atelier 2 : Source de risque

L’atelier 2 se fait en deux modules. Les résultats se traduisent comme sur les images
suivantes :
Figure 15 : Résultat source de risque
Source de risque, il s’agit ici des éléments, personnes, groupes de personnes ou

organisation susceptible d’engendrer un risque.
Figure 16 : Résultat objectif visé
53
Objectifs visé : il s’agit ici de la finalité visée par une source de risque, selon ses
motivations.
II.3- Résultat atelier 3 : Scénarios Stratégiques

L’atelier 3 se fait en cinq modules dont les résultats obtenus se présentent comme sur
les images suivantes :
Figure 17 Interface atelier 3
Scénarios stratégique, il s’agit du chemin d’attaque allant d’une source de risque à un

objectif visé en passant par les valeurs métiers du CENADI.
Figure 18: Résultat catégorie
Catégorie il s’agit des actifs qui sont vulnérable.
54
Figure 19: Résultat partie prenante
Partie Prenante il s’agit d’éléments (personne, système d’information, organisation, ou

source de risque) en interaction directe ou indirecte avec la salle TIGRE.
Figure 20 : Cartographie partie prenante
La arthrographie c’est le résultat générer en fonction des informations que nous avons défini
dans la partie prenante.
55
Figure 21: Résultat chemin d’attaque
Chemin d’attaque il s’agit d’une suite d’événements distincts que la source de risque
devra générer pour atteindre son objectif.
Figure 22: Résultat mesure de sécurité
56
Mesure de sécurité, il s’agit de moyen de traiter un risque prenant la forme de solutions

ou d’exigences pouvant être inscrites dans un contrat.
57
CONCLUSION ET
PERSPECTIVES
58
En définitive, il s'agissait dans un premier de présenter et de décrire le problème (état

de l'art), dans un deuxième temps de présenter les solutions et de décrire la méthodologie et
dans un troisième temps de valider la solution à l’outil. Tout au long de ce travail, nous avons
travaillé sur la gestion des risques cyber avec la méthode EBIOS-RM. Pour la réalisation, nous
avons suivi la méthodologie qui a été proposée par l’agence ANSSI. Cette méthodologie
comprend cinq ateliers interdépendants et itératifs qui sont : cadrage et socle de sécurité, sources
de risque, scénario stratégique, scénario opérationnel et traitement des risques. Bien que la
gestion des risques cyber ait été réalisée dans la salle tigre avec la méthode EBIOS-RM, par
faute de temps, nous n’avions pas pu aller jusqu’au bout de cette méthode qui se fait
normalement en cinq (05) ateliers. Or, jusque-là, nous n’en avons pu réaliser que trois. Ainsi
des efforts importants restent nécessaires pour assurer efficacement la gestion des risques cyber
de façon complète.
En perspective, nous allons dans un premier temps finir avec la gestion des risques de
la salle Tigre en poursuivant avec les ateliers 4 et 5, et dans un second temps, effectuer la gestion
des risques dans l'ensemble du réseau du CENADI, y compris la salle serveur, la salle de
surveillance et la baie de la DIRE.
59
BIBLIOGRAPHIE
i- Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) publié en 2018.
« Méthodes-ebios_projet », pdf. Publier en France.
ii- BIR Khaled Et SAOUDI Yanis publié en 2017 sous le thème : « mise en place d’un système
de détection d’intrusion ». Université Abderrahmane Mira Béjaïa Faculté des Science.
iii- Centre National de Développement de l’Informatique, 2023, « Présentation du CENADI »
60
WEBOGRAPHIE
1-https://web.maths.unsw.edu.au/~lafaye/CCM/attaques/attaques-web.htm (visité le
10/06/2023)
2-https://www.istockphoto.com/fr/photo/pare-feu-informatique-gm1270286129-373291715
(visité le 26/06/2023)
3- https://www.istockphoto.com/fr/search/2/image?phrase=pare+feu visité le 26/06/2023
4- https://www.ssi.gouv.fr/uploads/2018/10/fiches-methodes-ebios_projet.pdf (visité le 12/06/2023)
61

Memoire Costa Final

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Memoire Costa Final

Transféré par

Droits d'auteur :

Formats disponibles

Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI

Au terme de ce travail, nos remerciements vont d’abord à l’endroit du DIEU

Table des matières

I.1. Situation géographique .............................................................................................................. viii

1- Définitions et terminologies de la sécurité ...................................................................................... 6

I.6.6) DMZ (Demilitarized Zone) .................................................................................................. 16

II.1- Sur le plan physique .................................................................................................................. 17

III.1- Outils de solutions disponible .................................................................................................. 18

II.1- Atelier 1 : Cadrage et socle de sécurité ..................................................................................... 25

I.1- Atelier 1 : Cadrage et Socle de sécurité ...................................................................................... 37

II.1- Résultat atelier 1 : Cadrage et socle de sécurité ........................................................................ 48

LISTE DES ABRÉVIATIONS

CENADI : Centre National de Développement de l’Informatique

CIB : Centre Informatique de Bafoussam

CID : Centre Informatique de Douala

CIG : Centre Informatique de Garoua

DAAF : Division des Affaires Administratives et Financières

DEL : Division de l’Exploitation et des Logiciels

DEP : Division des Études et Projets

DIRE : Division de l’Informatique appliquée à la Recherche et à l’Enseignement

DIT : Direction de l’Informatique et de la Téléinformatique

DTB : Division de la Téléinformatique et de la Bureautique

IPsec : Internet Protocol Security

IUT : Institut Universitaire de Technologie

MESIRES : Ministère de l’Enseignement Supérieur, de l’Informatique et de la Recherche Scientifique

MINAC : Ministère des Arts et de la Culture

MINAS : Ministère des Affaires Sociales

MINFI : Ministère des Finances

MINMAP : Ministère de l’Informatique et des Marchés Publics

MINPROFF : Ministère de la Promotion de la Femme et de la Famille

MINREST : Ministère de la Recherche Scientifique et Technique

SCI : Service Central de l’Informatique

SCM : Service Central de la Mécanographie

VPN : Virtuel Private Network

LISTE DES TABLEAUX

LISTE DES FIGURES

I- SITUATION GEOGRAPHIQUE ET HISTORIQUE DU CENADI

Figure 1: Plan de localisation du CENADI à Yaoundé1

Le Décret n° 93/133 du 10 mai 1993 modifiant certaines dispositions du décret n° 88/1087 du

Tableau 1: Historique du CENADI2

II. Secteur d’activité

Ainsi, le CENADI est chargé de :

 Participer à la mise au point des orientations pour la Recherche Scientifique et Technique

 Participer à l’application des soumissions pour les appels d’offres de marchés

III. Organisation administrative

Ministère des finances

DEP DEL DTB DIRE DAAF CID

Figure 2: Organigramme hiérarchique du CENADI3

En général, l'objectif de ce travail est d'améliorer la sécurité du réseau local de la salle

La solution proposée consiste à utiliser la méthode Ebios-RM pour mettre en place un

CHAPITRE I : PRÉSENTATION ET DESCRIPTION DU

I- GÉNÉRALITÉS SUR LA SÉCURITÉ INFORMATIQUE ET

Figure 3: Illustration d’une sécurité.4

1- Définitions et terminologies de la sécurité

- Niveau de risque (Risk level) : Mesure de l’importance du risque, exprimée par la

- Scénario opérationnel (Operational scenario) :

- Valeur métier (Business asset) :

2- Les objectifs de la sécurité

3- Anatomie d’une attaque

4- Les types d’attaques

Figure 4: Illustration d’une attaque5

I.4.1) Les attaques réseaux

I.4.2) Les attaques applicatives

I.4.3) Les attaques systèmes