Académique Documents
Professionnel Documents
Culture Documents
Memoire Costa Final
Memoire Costa Final
DÉDICACE
Je dédie ce travail
À LA
FAMILLE
SENGUEL
i
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
REMERCIEMENTS
ii
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
iii
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
iv
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
PR : Présidence de la République
SG : Secrétariat Général
v
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
vi
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
vii
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
PRÉSENTATION DE L’ENTREPRISE
1
Google Mapp
viii
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
I.2. Historique
Le CENADI a été institué par Décret n° 88/1087 du 12 août 1988 portant création et organisation
du Centre National de Développement de l’Informatique (CENADI) au Ministère de l’Enseignement
Supérieur, de l’Informatique et de la Recherche Scientifique (MESIRES).
L’Article 2 (nouveau) alinéa 1 du Décret n° 93/133 du 10 mai 1993 stipule qu’il est l’organe
chargé de la mise en œuvre de la politique du gouvernement dans le domaine de l’informatique et de la
téléinformatique. Il se présente ainsi comme le conseiller du gouvernement, des administrations
publiques et parapubliques, des collectivités locales et même des entreprises privées en matière
informatique. Le tableau ci-après présente un bref historique du CENADI.
2
Centre National de Développement de l’Informatique, 2023, « Présentation du CENADI » p 1
ix
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
x
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
Conseil de direction
Secrétariat Général
Direction
Secrétariat
CIB CIG
CIG
3
Centre National de Développement de l’Informatique, 2023, « Présentation du CENADI », p.3
xi
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
RÉSUMÉ
Le Centre National de Développement Informatique (CENADI) et son service central basé à
Yaoundé est l’organe étatique conseil du Gouvernement du Cameroun, des administrations, tant
publiques que parapubliques en matière d’informatique. Cette entité gouvernementale a pour
mission principale le traitement de la solde de l‘Etat à travers son système d’information composé
de ressources, de personnes, de processus et de technologies utilisés pour collecter, stocker, traiter et
diffuser des informations au sein de son organisation. Afin de bien assurer sa mission, le CENADI doit
s’appuyer sur les composants de son système d’information cartographiés selon trois vues principales à
savoir la vue métier, la vue applicative et la vue infrastructure. Le problème identifié parmi tant d’autres
qui a grandement retenu notre attention provient des menaces auxquelles fait face le système
d’information de notre organisation et le risque élevé de ne pas atteindre les objectifs escomptés. D’où
la nécessité de mettre sur pied un outil de gestion des risques cyber selon la méthode E-bios à travers
son outil Ebios-RM. Pour résoudre cette problématique, nous avons choisi comme périmètre de travail
l’infrastructure réseau et plus précisément la couche accès du réseau local du CENADI. Tout au long de
notre travail nous avons essayé de ressortir les différentes vulnérabilités avec les menaces associées sur
les actifs selon leur criticité dans l’organisation afin d’analyser les potentiels risques encourus. Nous
avons étayé notre travail par le choix de l’outil mis au point par l’Agence Nationale de la Sécurité des
Systèmes d’Information (ANSSI en France). C’est une méthode assez complète qui part de la mission
pour prendre en compte les vulnérabilités physiques, administratives et techniques, ainsi que les
menaces associées pour ressortir les risques potentiels et enfin proposer les mesures de sécurité
appropriées.
Mots clés : système d’information, vulnérabilité, menace, risque, cyber, Scénarios de risques,
Scenarios de menaces.
.
1
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
ABSTRACT
The National Center for IT Development (CENADI) and its central service based in
Yaoundé is the state body advising the Government of Cameroon, administrations, both public
and parastatal, in matters of IT. This governmental entity has as its main mission the processing
of the state payroll through its information system composed of resources, people, processes
and technologies used to collect, store, process and disseminate information within its
organization. In order to properly carry out its mission, CENADI must rely on the components
of its information system mapped according to three main views, namely the business view, the
application view and the infrastructure view. The problem identified among many others that
has greatly caught our attention comes from the fact that in view of the threats to which the
information system of our organization poses, consequently the risk of not achieving its
objectives becomes too high. Hence the need to set up a cyber risk management tool according
to the E-bios method through its Ebios-RM tool. To address this problem, we have chosen as
the work perimeter the network infrastructure and more precisely the access layer of the
CENADI local network. Throughout our work we have tried to highlight the different
vulnerabilities with the associated threats to the assets according to their criticality in the
organization in order to analyze the potential risks incurred. We supported our work by
choosing the tool developed by the National Agency for Information Systems Security (ANSSI
in France). It is a fairly complete method that starts from the mission to take into account the
physical, administrative and technical vulnerabilities and the associated threats to highlight the
potential risks and finally propose the appropriate security measures.
Keywords: Information system, vulnerability, threat, intrusion, risk, cyber, Risks scenarios,
Threats scenarios.
2
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
INTRODUCTION
3
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
INTRODUCTION
Le système d'information du CENADI est composé de personnes, de ressources
matérielles, de ressources physiques, de gestion automatisée, d'informations cruciales, de
commutateurs et de serveurs. Cependant, ce système d'information rencontre certains
problèmes, tels que l'absence de portes sécurisées dans certains bureaux, le manquement dans
le respect des mises à jour et l'inexistence du cahier de suivi pour les mises à jour. Sur le plan
administratif, l’on observe un manque d'organisation puisque l’accès aux commutateurs est
libéral, à la portée de tous et sans procédure établie. En qualité de stagiaire, nous avons pu
d’ailleurs entrer dans les salles serveurs sans aucune procédure administrative préalable. Au
regard de tous ces problèmes non exhaustifs, il est évident que le système d'information du
CENADI court le risque de ne pas être en mesure d'atteindre ses objectifs et ses missions.
Le résultat obtenu grâce à l'utilisation de la méthode EBIOS-RM est une gestion efficace
des risques cyber. EBIOS-RM offre plusieurs avantages, tels que la gestion complète des
risques, la standardisation, l'analyse des impacts, la collaboration, le suivi et l'amélioration
continue de la gestion des risques. Cela permet au CENADI de mieux comprendre et gérer les
risques auxquels il est confronté.
Afin d’atteindre notre objectif, cette étude sera divisée en trois chapitres :
- Le premier chapitre se concentrera sur la présentation et la description du problème, en
s'appuyant sur l'état de l'art existant.
- Le deuxième chapitre fera une présentation de la solution et une description de la
méthodologie.
- Le troisième chapitre sera consacré à la validation de cette solution.
4
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
CHAPITRE I :
PRÉSENTATION ET
DESCRIPTION DU PROBLÈME
5
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
4
https://www.istockphoto.com/fr/photo/pare-feu-informatique-gm1270286129-373291715 (visité le
26/06/2023)
6
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
La sécurité informatique désigne l'ensemble des mesures prises pour protéger les systèmes
informatiques, les réseaux et les données contre les menaces, les attaques ou les intrusions.
- Système d’information :
Un système d'information (SI) est un ensemble organisé de ressources (personnes, procédures,
logiciels, matériel, données) qui vise à collecter, stocker, traiter et distribuer des informations
dans le but de soutenir la prise de décision, la coordination, le contrôle et l'analyse au sein d'une
organisation.
- Vulnérabilité :
C’est une faiblesse de sécurité qui peut découler par exemple d’une erreur d’implémentation
dans le développement d’une application ou d’une erreur susceptible d’être exploitée pour nuire
à l’application. Elle peut également provenir d’une mauvaise configuration. Elle peut enfin
avoir pour origine une insuffisance de moyens de protection des biens critiques.
- Menace :
Elle désigne l’exploitation d’une faiblesse de sécurité par un attaquant qu’il soit interne ou
externe à l’entreprise.
- Risque :
Les menaces engendrent des risques et des coûts humains et financiers comme la perte de
confidentialité de données sensibles et l’indisponibilité de l’infrastructure et des données.
Les risques peuvent survenir si le système menacé présente des vulnérabilités.
- Attaque :
C’est le résultat de l’exploitation d’une faille détectée par un système informatique
(Système d’exploitation, logiciel, erreur de configuration, . . . etc.) à des fins non connues par
l’exploitant du système, généralement répudiable.
- Cyber :
Le mot "cyber" est un préfixe qui est souvent utilisé pour faire référence à l'informatique, à
l'internet et aux aspects technologiques liés à ces domaines.
- Scénario de risque :
Un scénario de risque est une description détaillée d'un événement potentiel qui pourrait causer
des dommages, des pertes ou des problèmes à une organisation. Il identifie les différentes
étapes, les acteurs et les conditions qui pourraient contribuer à récurrence du risque.
- Scenario de menace :Un scénario de menace est une représentation de différents types
d'attaques potentielles ou d'actes malveillants qui pourraient cibler une organisation. Ces
7
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
scénarios peuvent inclure des attaques informatiques, des vols, des fraudes, des actes de
sabotage, etc.
- Intrusion :
C’est le résultat d’une attaque qui a réussi à exploiter une vulnérabilité, dans le cas où l’attaque
est réalisée par le système informatique n’est plus en sécurité.
- Contre mesure :
Elles donnent au système la capacité à réagir aux tentatives d’intrusions.
EXEMPLES : disponibilité, intégrité, confidentialité, traçabilité.
- Bien support (Supporting asset) :
Composante du système d’information sur laquelle repose une ou plusieurs valeurs métier.
Un bien support peut être de nature numérique, physique ou organisationnelle.
- Chemin d’attaque (Attack path) :
Suite d’événements distincts que la source de risque devra probablement générer pour
atteindre son objectif. Cette terminologie concerne les scénarios stratégiques.
- Ecosystème (Ecosystem) :
Ensemble des parties prenantes en interaction avec l’objet de l’étude. On entend par
interaction toute relation intervenant dans le fonctionnement normal de l’objet de l’étude.
Les sources de risque ne sont pas considérées a priori comme des parties prenantes, sauf si
elles peuvent avoir un effet sur le fonctionnement de l’objet de l’étude.
- Événement redouté (Feared event) :
Un événement redouté est associé à une valeur métier et porte atteinte à un critère ou besoin
de sécurité de la valeur métier (exemples : indisponibilité d’un service, modification
illégitime du seuil de température haute d’un processus industriel, divulgation de données
classifiées, modification d’une base de données). Les événements redoutés à exploiter sont
ceux des scénarios stratégiques et se rapportent à l’impact d’une attaque sur une valeur
métier. Chaque événement redouté est évalué selon le niveau de gravité des conséquences,
à partir d’une métrique.
- Gravité (Severity) :
Estimation du niveau et d’intensité des effets d’un risque. La gravité fournit une mesure des
impacts préjudiciables perçus, qu’ils soient directs ou indirects.
Exemples : négligeable, mineure, majeure, critique, maximale.
- Mission (Mission) : Fonction, finalité, raison d’être de l’objet de l’étude.
8
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
9
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
10
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
• Persist (Persister) : Consiste en la création d’un compte avec des droits de super utilisateurs
pour pouvoir se ré-infiltrer ultérieurement. Une autre technique consiste à installer une
application de contrôle à distance capable de résister à un cheval de Troie.
• Propagate (Propager) : Cette étape consiste à observer ce qui est accessible et disponible sur
le réseau local.
• Paralyse (Paralyser) : Cette étape peut consister en plusieurs actions. Le pirate peut utiliser
un serveur pour mener une attaque sur une autre machine ; détruire des données ou encore
endommager le système d’exploitation.
Les attaques informatiques peuvent être classées en différentes catégories en fonction de leur
objectif et de la méthode utilisée. Voici quelques catégories courantes d'attaques :
5
https://web.maths.unsw.edu.au/~lafaye/CCM/attaques/attaques-web.htm (visité le 10/06/2023)
11
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
d’exploitation et les services installés. On peut donc déterminer avec précision les
failles de sécurité et donc les types d’attaques possibles sur la machine.
IP Spoofing : Le Spoofing consiste à se faire passer pour un autre système en falsifiant
son adresse IP. Le pirate commence par choisir le système qu’il veut attaquer. Après
avoir obtenu le maximum de détails sur ce système cible, il détermine les systèmes ou
adresses IP autorisés à se connecter au système cible. Le pirate attaque ensuite le
serveur cible en utilisant l’adresse IP falsifiée.
ARP Spoofing : Le but de cette attaque est de rediriger le trafic d’une machine vers
une autre. Grace à cette redirection, une personne mal attentionnée peut se faire passer
pour une autre. De plus, le pirate peut ré-router les paquets qu’il reçoit vers les
véritables destinataires, ainsi l’utilisateur usurpé ne se rendra compte de rien.
La finalité est la même que l’IP Spoofing mais celle-ci se déroule au niveau de la couche liaison
de donnée. Pour effectuer cette usurpation, il faut corrompre le cache ARP de la victime. Ce
qui signifie qu’il faut lui envoyer des trames ARP en lui indiquant que l’adresse IP d’une autre
machine est la sienne.
DNS Spoofing : Le but de cette attaque est de fournir de fausses réponses aux requêtes
DNS c’est-à-dire indiquer une fausse adresse IP pour un nom de domaine afin de rediriger, à
leur insu, des internautes vers des sites pirates. Grâce à cette fausse redirection, l’utilisateur
peut envoyer ses informations en toute confiance telle que les identifiants. Il existe deux
techniques pour effectuer cette attaque.
Fragments attacks : Le but de cette attaque est de passer outre les protections des
équipements de filtrage IP. Dans ce cas, un pirate peut s’infiltrer dans un réseau pour effectuer
des attaques ou récupérer des informations confidentielles.
Sniffing : Le Sniffing ou reniflement de trafic constitue l’une des méthodes couramment
utilisées par les pirates informatiques pour espionner le trafic sur le réseau. Dans la pratique,
les hackers font généralement recours à ce procédé, pour détecter tous les messages circulant
sur le réseau en récupérant des mots de passe et des données sensibles.
Déni de service : Le déni de service est une attaque visant à rendre indisponible un
service. Ceci peut s’effectuer de plusieurs manières : par le biais d’une surcharge réseau,
rendant ainsi la machine totalement injoignable ; ou bien de manière applicative en crashant
l’application à distance.
12
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
13
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
Malware : Les malwares sont des logiciels malveillants tels que les virus, les chevaux
de Troie, les vers et les ransomwares, qui sont conçus pour infecter et endommager les
systèmes informatiques.
Attaques par phishing : Les attaques par phishing consistent à tromper les utilisateurs
pour qu'ils divulguent des informations personnelles, telles que des identifiants de
connexion ou des informations financières, en imitant des entités légitimes par le biais
de courriels, de sites Web ou de messages texte.
Attaques par force brute : Ces attaques tentent de deviner les mots de passe en
essayant de multiples combinaisons jusqu'à ce que le bon soit trouvé.
Attaques de l'homme du milieu : Les attaques de l'homme du milieu visent à
intercepter et à modifier les communications entre les parties légitimes, permettant ainsi
à l'attaquant d'espionner ou de manipuler les échanges de données.
14
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
6
https://www.istockphoto.com/fr/search/2/image?phrase=pare+feu visité le 26/06/2023
15
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
Ce type de liaison est apparu suite à un besoin croissant des entreprises de relier les différents
sites.
I.6.8) Proxy
Le proxy est un ordinateur faisant office de passerelle entre le réseau d’un particulier ou
d’une entreprise et internet, il fait office de firewall pour tout le réseau, ce qui en fait une
sécurité de plus en cas d’attaque. Il sert de mémoire cache, téléchargeant les pages web visitées
par les utilisateurs du réseau local. Il permet alors de les exécuter à partir du proxy et non du
serveur distant qui héberge le site.
La gestion des risques dans une organisation informatique nécessite une approche
holistique qui couvre les aspects physiques, administratifs et techniques.
16
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
La gestion de ces risques passe par l'élaboration de plusieurs politiques de sécurité solide,
la sensibilisation et la formation du personnel, la mise en place du contrôle d'accès approprié,
la sauvegarde régulière des données sensibles, la politique de sécurité, la surveillance, la
séparation des tâches, la rotation des postes, la classification des informations, les procédures
personnelles, l’enquête, les tests, la formation et la sensibilisation à la sécurité.
Ces risques sont liés aux vulnérabilités et aux menaces qui peuvent affecter les systèmes
informatiques de l'organisation. Cela peut concerner les attaques de logiciels malveillants, des
piratages, des failles de sécurité, des pannes matérielles, etc.
Pour gérer ces risques, il est essentiel de mettre en place des mesures de sécurité
technique telles que l'utilisation de pare-feu, de logiciels de détection d'intrusion, de chiffrement
17
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
des données, de mises à jour régulières des logiciels, de journal d'audit, de logiciel antivirus, de
l’image serveur, de la carte à puce, des systèmes de rappel par numérotation et de la sauvegarde
des données.
On distingue également plusieurs outils qui nous permettent de gérer ces risques. Ceux-
ci prennent en compte le contrôle technique, physique et administratif. Nous pouvons citer :
18
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
Ces logiciels et normes NIST sont largement utilisés dans l'industrie de la sécurité
informatique pour aider les organisations à renforcer leur sécurité et leur conformité aux
réglementations.
19
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
Afin de résoudre les problèmes de vulnérabilité identifiés, nous avons choisi d'utiliser
l'outil Ebios-RM. Cette décision repose sur plusieurs facteurs. Tout d'abord, cet outil est
disponible en français, ce qui facilite la compréhension de son fonctionnement. De plus, il
propose une boîte à outils adaptable, permettant de l'ajuster en fonction des objectifs spécifiques
du projet. Enfin, il est compatible avec les référentiels normatifs actuels en matière de gestion
des risques et de sécurité numérique.
Ebios RM est un outil qui permet d'évaluer les risques numériques et de déterminer les
mesures de sécurité nécessaires pour les contrôler et les minimiser. Elle permet aussi de valider
le niveau de risque acceptable et de s’inscrire à plus long terme dans une démarche
d’amélioration continue. Enfin, cette méthode permet de faire émerger les ressources et
arguments utiles à la communication et à la prise de décision au sein de l’organisation et vis-à-
vis de ses partenaires.
20
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
CHAPITRE II :
PRÉSENTATION DES
SOLUTIONS ET DESCRIPTION
DE LA MÉTHODOLOGIE
21
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
I- PRÉSENTATION DU FONCTIONNEMENT DE LA
GESTION DES RISQUES CYBER AVEC EBIOS-RM
Ebios-RM propose une boîte à outils adaptable pour gérer les risques et assurer la
sécurité numérique. Cette méthode permet d'évaluer les risques et de mettre en place des
mesures de sécurité. Elle permet également de déterminer les niveaux de risque acceptables et
d'améliorer continuellement les pratiques. De plus, elle facilite la communication et la prise de
décision au sein de l'organisation et avec les partenaires. Cette méthode peut être utilisée pour
mettre en place ou renforcer la gestion des risques numériques, évaluer les risques des projets
numériques, et définir les niveaux de sécurité nécessaires pour les produits ou services. Elle
convient à tous types d'organisations, qu'elles soient publiques ou privées, peu importe leur
taille ou leur secteur d'activité. La méthode Ebios-RM adopte une approche hiérarchique en
commençant par les grandes missions et en se focalisant progressivement sur les compétences
métier et techniques. Elle cherche à combiner la conformité et les scénarios de risque pour
apporter une valeur ajoutée maximale. L’environnement de cet outil de gestion des risques se
présente comme sur la figure ci-dessous.
22
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
23
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
On utilise l'approche par conformité pour déterminer la base de sécurité sur laquelle repose
l'approche par scénarios pour créer des scénarios de risque spécifiques ou complexes. Cela
signifie que les risques accidentels et environnementaux sont traités en priorité grâce à
l'approche par conformité dans la base de sécurité. L'évaluation des risques par scénarios, selon
la méthode Ebios-RM, se concentre donc sur les menaces intentionnelles. Ebios-RM est une
méthode qui suit une démarche itérative en cinq étapes, que nous décrirons dans la suite de
notre travail.
7
Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) publié en 2018. « Méthodes-
ebios_Projet ».pdf. Publier en France. p.5
24
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
La méthode Ebios-RM suit une approche itérative où cinq ateliers sont organisés selon la
méthodologie suivante :
8
Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) publié en 2018. « Méthodes-
ebios_Projet ».pdf. Publier en France. p.6
25
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
Définir le cadre de l’étude : Pour commencer l'atelier, on va se mettre d'accord sur les
objectifs de l'étude. On peut par exemple envisager de mettre en place une gestion des risques
cyber au CENADI, valider un système d'information ou encore, déterminer le niveau de sécurité
à atteindre pour obtenir une certification produite.
26
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
27
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
28
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
29
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
processus métiers. On identifie ces scénarios dits stratégiques par déduction. Pour cela, les
éléments d'analyse des étapes précédentes sont utiles.
Définir des mesures de sécurité sur l’écosystème
Les travaux précédents pourraient avoir mis en évidence les faiblesses liées aux
collaborateurs internes et externes du CENADI que les attaquants essayeront d'exploiter pour
atteindre leurs objectifs. Il se peut aussi qu'on ait identifié un scénario où le CENADI sera
indirectement impacté par une cyberattaque visant l'un de ses partenaires. La dernière partie de
l'atelier 3 consiste à trouver des solutions pour réduire ces risques et les transformer en mesures
de sécurité. Ces mesures auront pour but de diminuer la menace inhérente provenant de
collaborateurs critiques (par exemple, en réduisant la dépendance envers un sous-traitant). Elles
pourront également influer sur le déroulement des scénarios stratégiques.
30
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
31
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
32
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
Une fois la stratégie de traitement validée pour chaque scénario, définir les mesures
de sécurité associées pour le traiter. Il peut s’agir de mesures ad hoc liées au contexte d’emploi
et de menace, ou du renforcement de mesures comprises dans le socle de sécurité. Elles viennent
compléter les mesures sur l’écosystème identifiées dans l’atelier 3.
Évaluer et documenter les risques résiduels
L’évaluation des risques résiduels (RR) intervient après l’application des mesures de
traitement que nous avons définies dans l’étape précédente.
L’exemple du document des risques résiduels se présente selon le modèle suivant :
99
Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) publié en 2018. « Méthodes-
ebios_Projet ».pdf. Publier en France. p.72
33
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
En somme, où il était question de proposer des solutions, notre travail révèle que les
différents ateliers d'Ebios-RM abordent divers aspects de l'analyse des risques. Ils traitent
souvent des domaines spécifiques tels que l'identification des actifs, l'évaluation des menaces,
la détermination des vulnérabilités, l'estimation des risques et la définition de mesures de
sécurité appropriées. Ces ateliers sont interconnectés, car ils font tous partie intégrante du
processus global d'analyse des risques d'Ebios-RM. Ils sont conçus pour être utilisés de manière
10
Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) publié en 2018. « Méthodes-
ebios_Projet ».pdf. Publier en France. p.76
34
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
cohérente et complémentaire afin de permettre une évaluation complète des risques liés à la
sécurité de l'information et de recommander des mesures d'atténuation adaptées. Après avoir
compris le fonctionnement de chaque atelier, dans le prochain chapitre nous aborderons leur
mise en œuvre en prenant le cas du CENADI.
35
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
CHAPITRE III :
VALIDATION DE LA
SOLUTION
36
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
11
Centre National de Développement de l’Informatique, 2023, « Présentation du CENADI », pp.2-4
37
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
12
Enquêtes de terrain
38
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
Tableau 7 : Scénario de risque lié aux actifs identifié avec analyse d’impact sur les trois standards du system d’information : la disponibilité,
l’intégrité et la confidentialité du CENADI13
Actifs Scénario de Risque Menace Vulnérabilité Impact Disp Int Conf
onib égr ident
ilité ité ialité
Porte Une personne non autorisée tente Accès non autorisé Système de verrouillage Interruption du
de pénétrer dans la salle Tigre en faible. service.
contournant les mesures de X
sécurité.
Un individu malveillant tente de Vol ou vandalisme Environnement non Perte de données
voler ou de causer des dommages surveillé. sensibles.
aux équipements de la salle X X
serveur.
Une organisation concurrente peut Espionnage Utilisation de badges Dommages
chercher à obtenir des industriel d'accès non sécurisés financiers et
informations sensibles ou réputation du X
confidentielles en accédant à la CENADI.
salle Tigre
Baie En cas d'incendie, la baie et les Incendie Absence de système de Interruption du
LEGRA équipements qu'elle contient détection et d'extinction service et des pertes
ND 42U pourraient être détruits automatique d'incendie à de données X X
proximité de la baie. importantes.
13
Compilation des données observées dans la structure
40
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
Un accès non autorisé à la baie Accès non autorisé Absence d'un contrôle Pourrait entraîner un
d'accès physique adéquat, vol ou une
comme des serrures de modification
haute sécurité ou un accès malveillante des
limité aux personnes équipements et des
autorisées. données stockées,
compromettant ainsi X X
la sécurité et
l'intégrité du
système.
switch La défaillance du switch Cisco Panne matérielle Versions logicielles Perte de données.
Cisco 2960 obsolètes :
2960
X
switch Défaillance du switch Cisco 9500
Interruption de la Arrêt du plan de Impact financier :
Cisco solde de l’État. continuité des activités. L'interruption des
9500 services et la perte de
données peuvent
entraîner des coûts X X
financiers
considérables le
CENADI.
Panneau Panne du panneau de brassage Défaillance Absence de maintenance Interruption de la
de matérielle du régulière et préventive du connectivité réseau
brassage panneau de panneau de brassage. dans la salle Tigre,
brassage. entraînant une baisse X
ou une perte de
service.
Goulotte Une fuite d'eau causée par une Défaillance de Absence de mesures - Coûts élevés de
rupture d'une conduite d'eau l'équipement de préventives, telles qu'un réparation et de
adjacente. plomberie, système de détection de remplacement des
41
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
Prise Perte de connectivité Ethernet dans Défaillance du Absence de redondance Indisponibilité des
murale la salle serveur. matériel réseau, tels services
que les câbles, les
commutateurs, les
cartes réseau, etc.
X
Erreur humaine : Absence de surveillance : Perte de données
L'absence de surveillance
proactive du réseau peut
retarder la détection des X
anomalies ou des pannes.
Attaques Mauvaise gestion des Retard dans les
malveillantes : câbles : opérations : X
42
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
14
Compilation des données observées dans la structure
43
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
- vol ou vandalisme
15
Compilation des données observées dans la structure
44
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
- hacktiviste
- Attaque interne
MODULE 1 : Catégorie
Il s’agit ici des actifs qui vont nous permettre au module suivant d’évalué le niveau de
gravité d’exposition et leurs fiabilité.
- Porte
- Switch 2960
16
Compilation des données observées dans la structure
45
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
Nous allons définir les parties de chaque catégorie et évalué leurs niveau de gravité.
- Exposition : grave
Ce module prend en compte les données du module 2 pour ressortir une cartographie
des parties prenantes.
- Chemin d’attaque : Une personne non autorisée tente de pénétrer dans la salle Tigre en
contournant les mesures de sécurité qui constituent la porte principale de la salle Tigre.
Pour atténuer ces risques, il est recommandé de mettre en place les mesures suivantes :
Pour la porte :
- Utilisation les portes solides, résistantes aux effractions avec des serrures/verrous de haute
sécurité.
- Installation de systèmes d'accès sécurisés tels que des systèmes de carte ou de code d'accès,
avec des protocoles de gestion appropriés.
46
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
- Mettre en place une redondance réseau pour assurer la continuité des services en cas de panne.
- Mettre en place un système de supervision et d'alerte pour détecter rapidement toute panne ou
anomalie du réseau.
- Sauvegarder régulièrement les données critiques afin de minimiser les pertes en cas de sinistre.
En outre nous avons énuméré plusieurs autres mesures de sécurité notamment sur le
plan physique, administratif, et technique.
- de mettre en place des mesures de sécurité physique telles que des systèmes anti-incendie,
des alimentations électriques de secours, des sauvegardes régulières des données, l’instauration
d’un système biométrique, le renforcement de la sécurité des portes et fenêtres, la mise en
application des télévisions en circuit fermé, l’accès sécurisé à la bai, etc.
- Protéger l'accès physique aux infrastructures en utilisant des systèmes de contrôle d'accès
comme des badges, des serrures à carte ou des dispositifs biométriques.
- Mettre en place une surveillance vidéo pour détecter les accès non autorisés.
- Installer des systèmes de détection d'intrusion pour repérer les tentatives de violation
physique des locaux.
- Assurer une gestion stricte des clés et des équipements sensibles pour éviter les vols.
- Établir des politiques de sécurité claires concernant l'utilisation des systèmes informatiques,
l'accès aux données sensibles, etc.
- Mettre en place des contrôles d'accès et des autorisations appropriées pour limiter l'accès
aux informations critiques.
47
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
- Effectuer des audits et des évaluations régulières de la sécurité pour identifier les
vulnérabilités et les risques potentiels.
- Mettre en place des procédures de sauvegarde régulières et des plans de réponse aux
incidents pour faire face aux cyberattaques ou aux situations d'urgence.
- Utiliser des solutions de pare-feu et de sécurité des réseaux pour protéger le système et limiter
les attaques.
- Installer des logiciels antivirus et les maintenir à jour pour détecter les programmes
malveillants et les menaces potentielles.
- Mettre en place des systèmes de détection d'intrusion et de prévention des intrusions pour
surveiller activement les activités suspectes.
- Crypter les données sensibles pour empêcher leur accès non autorisé.
Dans cette partie, nous allons présenter d’abord l’interface de l’outil EBIOS-RM que
nous avons utilisé pour la gestion des risques du CENADI. Par la suite nous allons présenter le
résultat obtenu de chaque atelier.
48
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
Il s’agit des informations propres à la structure telle que le nom, l’adresse, le contact, et la
mission de la structure,
49
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
La valeur métier ici fait allusion à un service, une fonction support, une étape dans un
projet et toute information ou savoir-faire associé.
50
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
Les biens support associé renvoie aux actifs que nous avons identifié dans la salle
TIGRE et les personne responsable de ces actifs.
51
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
Les événements redoutés se rapportent à l’impact d’une attaque sur une valeur métier.
Chaque événement redouté est évalué selon le niveau de gravité des conséquences.
52
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
53
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
Objectifs visé : il s’agit ici de la finalité visée par une source de risque, selon ses
motivations.
54
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
La arthrographie c’est le résultat générer en fonction des informations que nous avons défini
dans la partie prenante.
55
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
Chemin d’attaque il s’agit d’une suite d’événements distincts que la source de risque
devra générer pour atteindre son objectif.
56
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
57
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
CONCLUSION ET
PERSPECTIVES
58
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
En perspective, nous allons dans un premier temps finir avec la gestion des risques de
la salle Tigre en poursuivant avec les ateliers 4 et 5, et dans un second temps, effectuer la gestion
des risques dans l'ensemble du réseau du CENADI, y compris la salle serveur, la salle de
surveillance et la baie de la DIRE.
59
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
BIBLIOGRAPHIE
i- Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) publié en 2018.
« Méthodes-ebios_projet », pdf. Publier en France.
ii- BIR Khaled Et SAOUDI Yanis publié en 2017 sous le thème : « mise en place d’un système
de détection d’intrusion ». Université Abderrahmane Mira Béjaïa Faculté des Science.
60
Rédigé par COSTA SENGUEL
Sujet : Mise en œuvre d’un outil de gestion de risque cyber avec la méthode EBIOS-RM : Cas du CENADI
WEBOGRAPHIE
1-https://web.maths.unsw.edu.au/~lafaye/CCM/attaques/attaques-web.htm (visité le
10/06/2023)
2-https://www.istockphoto.com/fr/photo/pare-feu-informatique-gm1270286129-373291715
(visité le 26/06/2023)
61
Rédigé par COSTA SENGUEL