II/Mise en oeuvre d'un système
d'Analyse de risques
Un système de management des risques est tout d'abord
un système d'information qui gérer l'activité de
journalistique, de suivie, d'évaluation et de prise de décision
concernant les risques leurs impacts, leur probabilité d'occurrence et
l'efficacité des mesures antérieurs.
Il pourra être informatisé partiellement,
totalement ou bien non informatisé. Les outils et moyens de mise en
oeuvre pourrons varier du simple registre papier et de manuel de
procédures à suivre, jusqu'aux outils de systèmes
d'information informatisés tel que les bases de données, les
SGBD, les outils de production bureautique et les outils d'analyse OLAP et les
Bases de données multi dimension aussi appelée systèmes
d'aide à la décision ou communient connues sous le nom de data
warehouse.
En partant des insuffisance soulevés par les rapports
d'audit réalisé dans l'office national de
télédiffusion pour l'année 2003, la direction a eu
l'initiative de mettre en oeuvre un système de management des risques.
Cela étant proposé comme les des axes porteur de notre mission au
sein de l'ONT.
Dans le cadre de mise en oeuvre d'un système de
management des risques RIAMS, nous avons procéder comme suit:
· Elaboration d'une taxonomie soigneusement
choisie et validée pour donner une quantification métrique et
analytique et une sorte d'indexation des caractéristiques qualitatives
afin d'harmoniser et de permettre une évaluation des
risques.
· Identification des processus, activités
et taches ainsi que des données en entrée, les données en
sortie, et les données en consultation, leurs sources et leurs supports,
ainsi que leur classification par degré de sensibilité par
rapport
Rapport d'audit de la sécurité
Informatique de l'ONT 36/125
aux aspects de la sécurité :
Confidentialité, Intégrité, Disponibilité et Non
répudiation.
· Identification des risques potentiels par
scénario en partant de l'historique et d'une base de menaces assez riche
(la base de eBIOS) et en mettant les informations collectées dans des
fiches de déclaration de risque.
· Classification des processus, activités
et taches en se basant sur la taxonomie indiquée et selon les
critères suivants
o Impact stratégique
o Exigence réglementaire
o Probabilité d'occurrence d'incidents
touchant à la confidentialité
o Probabilité d'occurrence d'incidents
touchant à la disponibilité
o Probabilité d'occurrence d'incident touchant
à l'intégrité
o Probabilité d'occurrence d'incident touchant
à la Non Répudiation
o Détectabilité des
incidents
o Maîtrisabilité des
incidents
o Plan d'Urgence (existe, Testé,
appliqué)
o Impact coût perte
Confidentialité
o Impact coût perte
Disponibilité
o Impact coût perte
Intégrité
o Impact coût perte Non Répudiation
o
· Evaluation de l'impact de perte de chacun des
aspects de la sécurité qui intéressent l'organisme: perte
de confidentialité, perte de disponibilité,
d'intégrité et non répudiation.
Pour cela des règles et méthodes de calcul ont
été élaborées et validées en collaboration
avec les responsables des processus et activités en question.
Une fois le recensement des équipements, des services,
des fonctionnalités, des processus, activités et taches ont
été réalisés de la façon la plus
satisfaisante, ainsi que celle des risques majeurs et leurs scénarios
menaçant l'infrastructure informatique de l'organisme, le système
mis en place permettra de générer un tableau de bord indiquant la
potentialité des risques par processus (ou activité ou tache),
par probabilité d'occurrence et par gravité d'impact
financier.
Ce qui permet aux décideurs d'évaluer les
charges dues aux risques, avec lesquelles survies actuellement
l'activité de leurs unités au sein de l'organisme. Ce tableau de
bord permet alors à l'administration de se décider sur les
risques en les classant selon la classification STRIDE tout d'abord (ce qui est
accepte, ce qui est géré, ce
Rapport d'audit de la sécurité
Informatique de l'ONT 37/125
qui est insupportable et devra être externaliser,...) et
d'en décider des mesures à mettre en oeuvre ou à
réviser et qui serviront à réduire soit la
probabilité d'occurrence, soit la gravité d'impact financier, si
jamais l'incident se présente. De Cette façon, il sera mieux
géré et les charges conséquentes seront
maîtrisées.
Cette même étape permet de se décider sur
les mesures déjà entrepris, en exposant les frais de ces mesures,
leurs degré d'efficacité ainsi que les charges résiduelles
des impacts du risque sur la base gravité d'impacte financier et
probabilité d'occurrence. Dans cette optique, les charges dues au risque
peuvent justifier l'investissement dans des mesures en comparant simplement les
charges (charge de base et charges résiduelles après application
des mesures) et les frais de mise en place. Le décideur pourra
même choisir entre mesures de détection, mesure de protection et
mesures de prévention dont chacune admet des coûts
différents.
Ce système de management de risque permet à la
fois de donner la position et le niveau de risque de l'organisme ainsi que des
différentes équipements, services, processus et activité,
mais aussi de choisir et de justifier le choix des mesures à
entreprendre afin de réduire les risques et les coûts sou
jacentes. Et encore plus, de calculer l'amélioration de la posture et du
niveau de risque après application de ces mesures.
Et finalement il permettra d'en déduire le plan
d'applicabilité. Par ailleurs, on a complété ce
système par un mécanisme de feed-back permettant le cas
échéant d'identifier les sources d'un incident basé sur
les questionnaires de ICHIKAWA qui permettent de remonter de l'effet aux causes
éventuelles.
Dans cette conception, on s'est inspiré de la
méthode SASA, essentiellement la technique de classification des
équipements en classes critique en disponibilité et en
Rapport d'audit de la sécurité
Informatique de l'ONT 38/125
sensibilité, ainsi que l'aspect métrique des
calculs des risques de base et des risques résiduels.
Par ailleurs, on a insister durant la mise en oeuvre de ce
système sur l'aspect paramétrage, ce qui lui permettra
d'être évolutif, pour survivre et accompagne l'évolution de
l'organisme. En effet, tous les éléments du système
peuvent être actualiser ou modifier : taxonomie, indexes, règles
de calcul de gravité, méthodes de calcul de probabilité
d'occurrence, Seuils des risques acceptables, données descriptives des
équipements, activités, processus, taches, services,
déclarations de risques, classification critique des avoirs.
Ci-après, on exposera une étude de cas
permettant de montrer la démarche et la technique d'évaluation et
de classification des risques recensés.
1/Taxonomie
Ci- après nous exposons un échantillon fictif
des indices taxonomique utilisés dans notre de système d'analyse
et de management des risques.
Impact
|
Niveau de confidentialité
|
Confidentialité
Définition
|
Note
|
L'impact existentiel dépassant 15% du
C.A.
|
Total exigé
|
-Les informations ne doivent être accessible
qu'aux personnes concernées (ces personnes doivent être clairement
définies).
-Un accès non autorisé n'est pas
toléré.
|
3
|
L'impact très important entre 5% et 15% du
C.A.
|
Elevé
|
-Les informations doivent être accessibles
uniquement aux personnes concernées par l'activité. -Un
accès non autorisé n'est pas toléré.
|
2
|
L'impact moyen de 0.3 % à 5 % du
C.A.
|
Interne
|
-Les informations sont accessibles par toutes personne
interne à la société.
|
1
|
L'impact minime de moins de 0.3 % du C.A.
|
Non exigé
|
-Les informations sont accessibles par les agents
internes et externes.
|
0
|
Impact
|
Niveau d'accessibilité
|
Disponibilité
Définition
|
Note
|
L'impact existentiel dépassant 10% du
C.A.
|
Evénement inacceptable
|
-La panne est inacceptable si elle dépasse les
5mn.
|
3
|
L'impact très important entre 5% et 10% du
C.A.
|
Evènement toléré à courte
durée
|
-La panne ne doit pas avoir une durée
supérieure à 30mn.
|
2
|
L'impact moyen de 0.2 % à 5 % du
C.A.
|
Evènement toléré à moyenne
durée
|
-la panne ne doit pas dépasser les 2
heures.
|
1
|
L'impact minime de moins de
0.2 % du C.A.
|
Evènement toléré à longue
durée
|
-La panne ne doit pas dépasser les 24 heures.
Intégrité
|
0
|
|
Impact
|
Niveau d'intégrité
|
Définition
|
Note
|
L'impact existentiel dépassant 12% du
C.A.
L'impact moyen de 0.2 % à 3 % du C.A.
|
Exacte
Erreur plus ou moins tolérable
|
- Aucune erreur n'est tolérée (l'erreur
peut avoir un incident grave sur la société). Les personnes
intervenant doivent être identifiées et leurs
responsabilités bien définies.
- L'erreur est plus ou moins
tolérable.
|
3
|
|
|
L'impact minime de moins de
- L'
. . . .
Non Répudiation
|
Impact
|
Niveau de Répudiation
|
Définition
|
Note
|
L'impact existentiel dépassant y% du
C.A.
|
Prouvable
|
- Aucune erreur n'est tolérée (l'erreur
peut avoir un incident grave sur la société). Les personnes
intervenant doivent être identifiées et leurs
responsabilités bien définies.
|
3
|
L'impact moyen de x% à y% du C.A.
|
Traçable
|
- L'erreur est plus ou moins
tolérable.
|
2
|
L'impact minime de moins de x% du C.A.
|
Répudiable
|
- L'erreur est tolérable.
|
1
|
|
Figure : Tables de taxonomie d'évaluation
CDIN
Dans le tableau ci-dessus, sont indiqués les indexes
métriques qui ont été utilisés, ainsi que les
règles et les formules de calcul qui ont été
établit pour évaluer l'impacte financier et la probabilité
d'occurrence des incidents relatif aux type de risques identifiés et
cela relativement à l'aspect intégrité, à la
confidentialité, la disponibilité et la non répudiation
malgré que cette aspect ne représente pas un objectif majeur de
l'organisme.
Par exemple, dans la taxonomie relative à la
disponibilité, on a identifié 4 indexes codant 4 niveaux de
disponibilité :
· Evènement toléré à
longue durée : la panne ne doit pas dépasser les 24
heures.
(indexe 0)
· Evènement toléré à
moyenne durée : la panne ne doit pas dépasser les 2 heures.
(indexe 1)
· Evènement toléré à
courte durée : la panne ne doit pas avoir une
durée
supérieure à 30mn. (indexe 2)
· Evénement inacceptable : la panne est
inacceptable si elle dépasse les 5mn. (indexe 3)
Rapport d'audit de la sécurité
Informatique de l'ONT 39/125
La colonne impact du tableau, spécifie la
signification sur le plan financier plus précisément, un incident
sera considéré de niveau 3 si il rend l'équipement ou
l'information, ou la fonctionnalité (service) inaccessible durant une
durée supérieur à 5mn, ce qui correspond à un
impact financier de perte de 10% du chiffre d'affaire ou du budget ou capital
respectif à cette activité. Les valeurs utilisées dans
cette explication sont fictives.
Les quatre premiers tableau servent à décrire
les indexes utilisés pour classer les informations, les processus,
activité, fonctionnalité ou service et sa sensibilité
vis-à-vis de l'intégrité, de la confidentialité, de
la disponibilité et de la non répudiation.
Coût
Description
|
|
Définition
L'impact minime de moins de x% du C.A.
|
Valeur
|
Coût negligeable
|
1 fois dans les 10 ans et plus
|
|
Coût Acceptable
|
1 à 2 fois dans les 10 ans
|
L'impact moyen de x% à y% du C.A.
|
1
|
Coût Supportable
|
3mois >1 fois > 2 ans
|
L'impact très important entre y% et z% du
C.A.
|
2
|
Coût Insupportable
|
> 1 fois par 3 mois
|
L'impact existentiel dépassant z% du
C.A.
|
3
|
|
Exigence Reglementaire
Description Sans Impact légal
|
Valeur 1
|
|
p g
Impact Strategique
|
Description
|
Valeur
|
Sans Impact stratégique
|
1
|
Avec Impact Startégique
|
2
|
|
Figure : Table de taxonomie d'évaluation des
coûts d'impact financier, stratégique et légal
Les trois tableaux ci-dessus, montrent les indexes
utilisés pour l'évaluation de la gravité d'un incident
à la base des coûts des dégât (frais de reprise,
frais de réparation, perte d' (frais de reprise, frais de
réparation, reconstruction des données, immobilisation de
personnel, perte d'activité etc), de l'impact stratégique et
l'exigence réglementaire éventuellement associés à
l'information, service ou fonction sinistrée.
Rapport d'audit de la sécurité
Informatique de l'ONT 40/125
Probabilités
Description
|
Durée
|
Valeur
|
Très peu probable
|
1 fois dans les 10 ans et plus
|
0
|
Peu probable
|
1 à 2 fois dans les 10 ans
|
1
|
Probable
|
3mois >1 fois > 2 ans
|
2
|
Très probable
|
> 1 fois par 3 mois
|
3
|
|
Detectabilité
Description
|
Valeur
|
Détectable
|
0
|
Moyennement détectable
|
1
|
Non détectable
|
2
|
Totalement non détectable
|
3
|
|
Maitrisabilité
|
DescriptionDurée
|
Valeur
|
Maîtrisable
|
<1heure
|
0
|
Moyennement maîtrisable
|
1< durée < 4 heures
|
1
|
Non maîtrisable
|
4 < durée < 1 journée
|
2
|
Totalement non maîtrisable
|
>1 journée
|
3
|
|
Figure : Tables de taxonomie d'évaluation de la
probabilité d'occurrence
Les tableaux ci-dessus, on été utilisés
pour indiquer les indices utilisés pour calculer la probabilité
d'occurrence d'un incident en fonction de sa probabilité naturelle, sa
détectabilité et sa maîtrisabilité. En effet,
certains risques ne sont pas facilement détectables malgré qu'ils
aient une probabilité d'occurrence relativement élevée.
D'autres sont détectables mais non maîtrisable, ce qui leurs
donnée un aspect plus dévastateur.
Ces indices sont utilisés pour classer les risques de
façon plus adéquate et d'en calculer un degré de
probabilité.
2/Classification des équipements
Sachant que le parc de certains organismes ou entreprises est
relativement important, il est quasi-impossible et parfois même inutile
d'inspecter, de vérifier d'auditer et de faire l'inventaire des risques
menaçant chaque équipent a part.
Pour cela différentes techniques pourrons venir en
aide, réduisant ainsi l'espace de travail. C'est dans cette optique les
méthodes d'échantillonnage pourrons trouver les utilité.
Pour l'organisme dans lequel on a effectuer notre mission, à savoir
l'ONT, le patrimoine informatique s'entend même sur des sites distants
couvrant le territoire du pays entier.
Rapport d'audit de la sécurité
Informatique de l'ONT 41/125
Rapport d'audit de la sécurité
Informatique de l'ONT 42/125
Pour remédier au problème ainsi soulevé
on a tout d'abord procédé à une classification des
équipements selon leurs utilités pour les processus et
activités. En effet, les serveurs sont plus importants que les postes de
travails. Les serveurs relatifs au processus Gestion Comptable est plus
critique que les serveurs de messagerie, qui à leur tour, plus critiques
que d'autres.
Pour cela ont a identifier les équipements critiques,
sur lesquels on a définie un indice indiquant le degré
d'utilité relatif de cet équipement pour l'organisme.
Par ailleurs, pour le reste des postes de travails et autres
équipements non critiques, on a adopté la technique
d'échantillonnage pour sélectionner un sous ensemble
représentatif d'équipements depuis les sites inspectés.
3/Identification et description des Processus,
Activité services et
fonctions
L'approche d'analyse et d'étude qu'on a adopté
pour cette partie de notre mission comme indiqué, étant de cibler
les processus et activités principales et d'étudier les risques
qui menaces ces derniers.
Dans le tableau suivant, on a procéder à
l'identification des Processus et activités ainsi que les flux de
données entrants et sortants, les acteurs ou équipements depuis
ou vers lesquels seront dirigés ces flux, ainsi que la documentation qui
pourra être consultée pour la réalisation et
l'exécution de ces processus.
Malgré que cette étape est préliminaire,
cependant elle primordiale et essentielle pour le reste de la
démarche.
Activités
|
Données d'entrée
|
Origine
|
Données de sortie
|
Destinataire
|
Données consultées
|
Origine
|
Traitement des appels d'offres
|
Offres de fournisseurs
|
Fournisseurs
|
Etalisement du BC
|
Fournisseurs
|
Cahier de charges, Reglementation ds marchés pubic
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
4/Classification des Informations
L'objectif de cette phase et d'arriver à
élaborer une vue globale sur l'importance des informations les unes par
rapport aux autres selon leur degré de sensiblité par rapport aux
critères CDIN.
Le tableau suivant représente le but final de cette
étape. Cependant, et avant d'arriver à remplir ce dernier
convenablement, il est essentielle de procéder à
l'évaluation détaillé de chaque information
vis-à-vis de ces critères. Pour cela on a établit d'autres
structures de tableaux qui seront détaillé ci-après.
Information
|
Confidentialité
|
Accessibilité
|
Intégrité
|
Offres de fournisseurs
|
2
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Le tableau ci-dessus, identifie l'ensembles des informations
ciblés ainsi que leur indice de classification relatif à la
confidentialité, la disponibilité et l'intégrité
(dans ce cas les dossier d'offres de fournisseurs sont classé 2 pour
l'aspect confidentiel).
Rapport d'audit de la sécurité
Informatique de l'ONT 43/125
4.1/Impact coût
Confidentialité
Dans le tableau ci-dessous, on a représenté un
échantillon fictif illustrant comment on évalue le coût
d'impact financier relatif à un incident qui nui à la
confidentialité. En effet, l'information sinistré dans ce cas
c'est les Offres, qui suite à l'occurrence
d'un incident, pourra avoir comme conséquences : des
poursuites légales par le fournisseur émettant le(s) offre(s)
dévulgué(s) en question, le relance ment du
marché avec les coûts de retard d'acquisitions,
des frais d'élaboration et de suivie supplémentaires qui
s'élevant à la somme de 2500 DT (coûts directs et
indirects),
ainsi que la conséquence de retard d'exécution
du marché qui est estimé à la somme de 200 000DT.
Pour chacune des conséquence, la règle de
calcul élaboré en collaboration avec les parties
concernées est exprimée, ensuite le coûts total est
calculé et un pourcentage
et déduit. Ce taux représente ce que
représente cet impact par rapport au chiffre d'affaire et permettra de
définir l'indice de cet incident dans la tableau des indices
de l'impact financier de la perte de confidentialité
établit dans la rubrique taxonomie et discuté plus haut.
Information
|
Impact de la perte de
confidentialité
|
Coûts
estimés
Direct+Indirect.
(Worst case)
|
Méthode de calcul définie en
collaboration avec les
personnes concernées (DG/
Financier)
|
|
Les Offres
|
poursuites légales par le fournisseur
|
5000
|
Frais d'avocat+Temps de travail de commission : 3000DT + 10
j-Ingénieur(200DT/j)
|
coût total
|
CA
|
|
C
|
|
2500
|
Frais de publication + frais de cahier de charge
|
207500 2 000 000 10%
|
2
|
|
200 000
|
2mois x 1,3Md/12
|
|
|
Mesure
|
Docmentée
|
Appliquée
|
Inssuffisance
|
Occurrences Antéieurs
|
Probabilité Actuelle
|
|
procedure d'ouverture des plis
|
1
|
2
|
2
|
4
|
16
|
|
2
|
|
|
|
|
|
|
|
3
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
"=moynne de ()"
|
|
|
|
|
|
|
|
|
I
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
D
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
N
|
|
Rapport d'audit de la sécurité
Informatique de l'ONT 44/125
Par ailleurs, et pour des raisons de rétro
évaluation des mesures de sécurité mis en place, ce
même tableau est complété par une section regroupant les
mesures de sécurité relatives à la gestion de ce risque.
Une description détaillée indique si cette mesure est
documentée, ce qui augment son degré d'applicabilité, si
elle est appliquée, le nombre d'occurrences antérieures de
l'incident ainsi que le degré d'insuffisance associé à ces
mesures. Ce qui permet de mieux décrire l'efficacité de cette
mesure d'une part et de servir d'un moyen plus précis pour calculer
l'indice de l'impact coût confidentialité.
4.2/Impact coût
Disponibilité
De façon similaire à l'identification des
risques qui menacent l'aspect confidentiel des processus et activités
traité plus haut dans ce rapport, on a procédé à
l'identification et la fixation des méthodes de calcul, des
conséquences que pourra avoir les incidents sur l'aspect
intégrité des données de chaque processus et/ou
activité comme indiqué dans le tableau ci-après.
|
Impact de la perte d'accessibilité
|
Coûts
estimés
Direct+Indirect.
(Worst case)
|
Méthode de calcul définie en
collaboration avec les
personnes concernées (DG/
Financier)
|
Informations
|
Offres de fournisseurs
|
choix d'un fournisseur plus cher
|
|
|
|
relancement du marché
|
2500
|
Frais de publication + frais de cahier de charge
|
|
retard sur l'execution du marché
|
200 000
|
2mois x 1,3Md/12
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
4.3/Impact coût
Intégrité
Dans ce qui suit un extrait du tableau d'évaluation des
ipacts d'incidents sur
l'intégrité des données de chaque
activité.
Rapport d'audit de la sécurité
Informatique de l'ONT 45/125
Information
|
Impact de la perte
d'intégrité
|
Coûts
estimés
Direct+Indirect.
(Worst case)
|
Méthode de calcul définie
en
collaboration avec les personnes
concernées (DG/
Financier)
|
Offres de fournisseursModification
|
Modification des prix
|
|
|
|
|
|
|
|
|
|
|
|
|
|
4.4/Impact coût Non
répudiation
L'aspect non répudiation parfois abandonné dans
l'analyse des risques, trouve son utilité étant donné
l'aspect stratégique de certains services, réalisés par
des activités et des processus, et offert à la plus part des
organismes public de l'état. En effet, l'interruption ou la modification
d'un service aussi vital ou une donnée cruciale pourra avoir des
répercutions majeurs, ce qui relève le sens de la
responsabilité et le besoin d'en assurer.
Dans le cadre de cette optique, il a été tenu
compte de cet aspect en procédant à l'identification des risques
qui peuvent altérer le fonctionnement de ces dits services
stratégiques, et par la suite, l'évaluation des
conséquences éventuelles et la fixation de règles de
calcul de l'impact.
Le tableau suivant donne les détails de cette
évaluation.
Information
|
Impact de Répudiation
|
Coûts
estimés
Direct+Indirect.
(Worst case)
|
Méthode de calcul définie
en
collaboration avec les personnes
concernées (DG/
Financier)
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Rapport d'audit de la sécurité
Informatique de l'ONT 46/125
Rapport d'audit de la sécurité
Informatique de l'ONT 47/125
5/Classification des Processus et
activités
Après avoir identifier et décrit chaque
processus et activité une description orienté flux de
données (approche processus), ainsi que l'ensemble des équipement
contribuant à ce processus ou à cette activité de la
façon la plus satisfaisante comme indiqué dans la
représentation tabulaire partielle suivante, on a calculé le
degré d'importance aussi appelé l'utilité de chaque
processus ou activité pour l'organisme. Ce qui, nous a permit
d'élaborer des priorités entre l'étude
détaillée des risques.
Dans ce qui suit on a fragmenté le tableau sommaire en
trois fragments pour pouvoir le représenter dans ce document. Certaines
colonnes sont partiellement visibles ou rendu masquées ainsi que les
données qui sont totalement fictives, pour respecter le secret
professionnel et préserver le caractère confidentiel de ces
informations.
Le premier fragment représente l'identification des
processus et ou activités, le département, direction sous
direction ou service où elle est exécuter. La colonne suivante
identifie le personnel avec lesquels on a réaliser un ou plusieurs
entretiens concernant cette activité, ainsi que le site et lieu
d'entretient.
Apres avoir prélever les informations
signalétique de chaque processus et activité, on a
procéder à l'identification des informations et des fonctions
sensibles pour chaque activité, l'aspect de sensibilité
(Confidentialité, Intégrité, Disponibilité, Non
répudiation) ainsi que les moyens utiliser pour réaliser cette
activité (nombre d'utilisateur contribuant, Serveurs, SGBD, Portables,
Documentation, équipement matériel, applicatif métier,
support réseau). Par ailleurs, on a identifier les répercutions
que peut avoir l'altération de cette activité sur le site (les
locaux) ainsi que sur le personnel et l'organisation.
Par la suite on a décrit conformément à
ce qui a précéder la relation entre l'activité et les
aspects légales, disponibilité, intégrité,
confidentialité et non répudiation, en partant de la relation
déjà dégagée entre les données et ces
critères et cela par le biais d'une fonction d'agrégation.
Toutes ces informations permettront de documenter et de
calculer l'indice de priorité des activités montrant l'importance
relative de chaque activité par rapport aux autres, pour le bon
fonctionnement sécurisé de l'organisme.
Activité/Processus
Personnel/Entretient
DEPT
Site/Sujet-Lieu d'entretient
Informations Sensibles
Nbr Utilisateurs
Serveur(s)
SGBD
Portables
Documentaire
Materiel
Applicatif(logiciel)
Réseau
Site
Personnel
Organisation
Fonctions Sensibles
Lois
Disponibilité
Integrité
Confidentialité
Non Répudiation
Priorité
Comptabilité DAF Mr Mohamed Siège Laarif
-Kairedin (directeur Enregistrement Pache DAF);Mr -Tunis Mizouri comptable
Moh
m 0 0 0
m 0 0 0
m 0 0 0
m 0 0 0 0 2
m 0 0 0
0 ® ® ® ® 2
Gestion des Approvisionnements DEX Mr
AbdessalamSiège -K
m 0 0 0
m ® 0 0 0 2
Messagerie INF Mr Issaam Siège Laar -K
m 0 0 0
m ® 0 0 0 2
Affaires Générales DAF Mr
MohamedSiège -KLa
m 0 0 0
m 0 0 0 0 3
Immobilisation DAF Mr MohamedSiège
-KLa
m 0 0 0
m ® ® 0 0 3
Facturation client DC Mr DebbabiSiège
Fet-K
m 0 0 0
m 0 0 0 0 3
Acces Internet INF Mr Issaam Siège Laar
-K
m 0 0 0 0 3
Gestion de Carburant DAF Mr MohamedSiège
-KLa
m 0 0 0 0 4
Gestion de Parc Auto DAF Mr MohamedSiège
-KLa
m 0 0 0 0 4
Ressources Humaines DAF Mr MohamedSiège
-KLa
m 0 ® 0 0 4
Bureau d'Ordre DG Mme RajaaSiège ?? -K
(
m 0 0 0 0 4
Gestion des marchés DQDR Mr AbchouSiège
Feth-K
m 0 0 0 0 4
Gestion de Formation DAF Mr MohamedSiège
-KLa
m 0 0 0 0 5
Pointage DAF Mr MohamedSiège -KLa
m 0 0 0 0 5
Suivi des Projets DQDR Mr AbchouSiège
Feth-K
m 0 0 0 0 6
Gestion de l'archive documentaire DAF Mr
MohamedSiège -KLa
m 0 0 0 0
Vente DC Mr DebbabiSiège Fet-K
m 0 0 0 0
Exploitation des equipements de diffusion DEX Mr
Abdessalam Siège -Kairedine Sallem Documents Pach (directer et -Tunis
DEX);Mr Manuels Aye Fethi Techniques(sous di
m 0 0 0 0
2 - Tres sensi 0
m 0 0 0 0
Gestion des Equipements d'Energie DEX Mr
AbdessalamZaghoue
Maintenace des equipements de diffusion DEX Mr
AbdessalamSiège -K
m 0 0 0
m 0 0 0 0
Telesurveillance/Commnde equipement DEX Mr
AbdessalamSiège -K
m 0 0 0
m 0 0 0 0
Audit et contrôle de gestion DG Mme
SiègeKalthoum-K
m 0 0 0
m 0 0 0 0
Direction (Manager) DG Mr Said
SiègAljene-K
m 0 0 0
m 0 0 0 0
Etude de marchés DQDR Mr Issaam Siège Laar
-K
m 0 0 0
m 0 0 0 0
Gestion des fréquences DQDR Mr Issaam Siège
Laar -K
m 0 0 0
m 0 0 0 0
Gestion du SIG DQDR Mr Issaam Siège Laar
-K
m 0 0 0
m 0 0 0 0
Dev. Inf. Projet INF Mr Issaam Siège Laar
-K
m 0 0 0
m 0 0 0 0
Dev. Logiciel INF Mr Issaam Siège Laar
-K
m 0 0 0
m 0 0 0 0
Télévision Numérique DEX Mr
IssaamTour deLaar c
m 0 0 0 ®
m 0 0
e)0
m ® ® ® 0 1
0 ® ® ® ® 1
Paie DAF Mr MohamedSiège -KLa
Suivi des Engagements et Paiement DAF Mr
MohamedSiège -KLa
Trésorerie DAF Mr MohamedSiège
-KLa
m 0 0 0
m 0 0 0
m 0 0 0
m 0 0 0
m 0 0 0
m 0 0 0
m 0 0 0
m 0 0 0
m 0 0 0
m 0 0 0
m 0 0 0
e 0 0 0
0dieeur0 ef0
Apres une brève description des impacts que pourront
avoir lieu sur chaque activité, nous procédons à
l'évaluation métrique de l'impact et cela en se
référant aux méthodes de calcul précédemment
arrêtés et discutés dans les rubriques évaluation
coûts d'impact respectivement pour la confidentialité,
l'intégrité, la disponibilité et la non
répudiation. Cela correspond à la colonne coût dans le
deuxième fragment du tableau.
Rapport d'audit de la sécurité Informatique
de l'ONT 48/125
Il est également à signaler que ce tableau est
remplit partiellement par des données collectées suite aux
différents entretiens réalisés avec les personnes
concernés, en l'occurrence les valeurs qui sont affectées
à la colonne exigence réglementaire et la colonne impact
stratégique dont les indices ont été judicieusement
fixés et approuvés par les personnes compétentes
respectifs pour chaque activité.
Ce qui nous amène au calcul de la gravité
d'impact des incident qui risque d'entraver l'exécution de chaque
activité sous forme de produit entre le coût, l'exigence
réglementaire et l'impact stratégique. Dans ce cas le premier
paramètre admet 4 niveau d'indice, le deuxième a 2 niveaux (est
une exigence réglementaire ou bien non) et le dernier admet
également 2 niveau (ayant impact stratégique ou bien non). Ce qui
donnera une gravité sur une échelle de 1 à 16.
|
Impact
|
Risques actuels
|
Mesures Actuelles
|
|
Activité/Processus
|
DEPT
|
Description de l'impact
|
cout
|
exigence reglementaire
|
impact strategique
|
Gravité
|
Probabilité
d'occurrence
|
Détectabilité
|
Maitrisablité
|
Mesure de Protection (MP)
|
Mesure de Détection (MD)
|
Plan d'Urgence (PU)
|
|
Comptabilité Paie
|
DAF
DAF
|
Application de la loi fiscal et redressement fiscal
possible..
|
2
1
|
: Coût Acceptable : Coût
negligeable
|
2
1
|
2
1
|
8 3
1 1
|
: 1 fois par mois : 1 fois 10 ans
|
|
Suivi des Engagements et Paiement
|
DAF
|
|
4
|
: Coût Insupportable
|
2
|
1
|
8 3
|
: 1 fois par mois
|
|
Trésorerie
|
DAF
|
|
4
|
: Coût Insupportable
|
1
|
2
|
8 3
|
: 1 fois par mois
|
|
Gestion des Approvisionnements
|
DEX
|
0
|
3
|
: Coût Supportable
|
2
|
1
|
6 0
|
: 1 fois 50 ans
|
|
Messagerie
|
INF
|
|
254 4
|
: Coût Insupportable
|
2
|
2
|
16 3
|
: 1 fois par mois
|
|
Affaires Générales
|
DAF
|
|
1
|
: Coût negligeable
|
1
|
1
|
1 3
|
: 1 fois par mois
|
|
Immobilisation
|
DAF
|
|
1
|
: Coût negligeable
|
1
|
1
|
1 0
|
: 1 fois 50 ans
|
|
Facturation client
|
DC
|
|
4
|
: Coût Insupportable
|
1
|
1
|
4 3
|
: 1 fois par mois
|
|
Acces Internet
|
INF
|
|
1
|
: Coût negligeable
|
1
|
1
|
1 2
|
: 1 fois par ans
|
|
Gestion de Carburant
|
DAF
|
|
1
|
: Coût negligeable
|
1
|
1
|
1 2
|
: 1 fois par ans
|
|
Gestion de Parc Auto
|
DAF
|
|
1
|
: Coût negligeable
|
1
|
1
|
1 3
|
: 1 fois par mois
|
|
Ressources Humaines
|
DAF
|
|
4
|
: Coût Insupportable
|
2
|
2
|
16 3
|
: 1 fois par mois
|
|
Bureau d'Ordre
|
DG
|
|
2
|
: Coût Acceptable
|
2
|
2
|
8 3
|
: 1 fois par mois
|
|
Gestion des marchés
|
DQDR
|
|
1
|
: Coût negligeable
|
2
|
2
|
4 3
|
: 1 fois par mois
|
|
Gestion de Formation
|
DAF
|
|
1
|
: Coût negligeable
|
1
|
1
|
1 1
|
: 1 fois 10 ans
|
|
Pointage
|
DAF
|
|
1
|
: Coût negligeable
|
1
|
1
|
1 2
|
: 1 fois par ans
|
|
Suivi des Projets
|
DQDR
|
|
1
|
: Coût negligeable
|
1
|
2
|
2 1
|
: 1 fois 10 ans
|
|
Gestion de l'archive documentaire
|
DAF
|
|
1
|
: Coût negligeable
|
1
|
1
|
1 0
|
: 1 fois 50 ans
|
|
Vente
|
DC
|
|
3
|
: Coût Supportable
|
2
|
2
|
12 3
|
: 1 fois par mois
|
|
Exploitation des equipements de diffusion
|
DEX
|
|
4
|
: Coût Insupportable
|
2
|
2
|
16 3
|
: 1 fois par mois
|
|
Gestion des Equipements d'Energie
|
DEX
|
|
|
|
|
|
|
|
|
Maintenace des equipements de diffusion
|
DEX
|
|
1
|
: Coût negligeable
|
1
|
1
|
1 2
|
: 1 fois par ans
|
|
Telesurveillance/Commnde equipement
|
DEX
|
|
3
|
: Coût Supportable
|
1
|
2
|
6 1
|
: 1 fois 10 ans
|
|
Audit et contrôle de gestion
|
DG
|
|
3
|
: Coût Supportable
|
1
|
1
|
3 2
|
: 1 fois par ans
|
|
Direction (Manager)
|
DG
|
|
2
|
: Coût Acceptable
|
2
|
1
|
4 0
|
: 1 fois 50 ans
|
|
Etude de marchés
|
DQDR
|
|
2
|
: Coût Acceptable
|
1
|
2
|
4 1
|
: 1 fois 10 ans
|
|
Gestion des fréquences
|
DQDR
|
|
1
|
: Coût negligeable
|
2
|
1
|
2 0
|
: 1 fois 50 ans
|
|
Gestion du SIG
|
DQDR
|
|
2
|
: Coût Acceptable
|
1
|
1
|
2 2
|
: 1 fois par ans
|
|
Dev. Inf. Projet
|
INF
|
|
1
|
: Coût negligeable
|
1
|
1
|
1 3
|
: 1 fois par mois
|
|
Dev. Logiciel
|
INF
|
|
4
|
: Coût Insupportable
|
2
|
2
|
16 3
|
: 1 fois par mois
|
|
Télévision Numérique
|
DEX
|
|
1
|
: Coût negligeable
|
1
|
1
|
1 3
|
: 1 fois par mois
|
|
Service Internet à Haut Débit
(DVBT)
|
DEX
|
|
|
|
|
|
|
|
Toutefois la gravité d'impact ne décrit pas
totalement la potentialité d'un risque qui menace une activité.
En effet, parfois des risques ayant des impacts relativement reduits peuvent
devenir nuisibles s'ils sont plus fréquentes que d'autres moins probable
pourtant de gravité supérieurs.
Rapport d'audit de la sécurité Informatique
de l'ONT 49/125
Pour cela, on a procédé également
à l'évaluation d'une prévision sur la probabilité
d'occurrence future de chaque incident. Le calcul se base tout d'abord sur la
probabilité d'occurrence naturel du phénomène, mais
intègre également le nombre d'occurrences antérieurs,
l'existante ou non de mesures de sécurité, si elles sont
documentées, leurs degrés d'efficacité, et si elles sont
appliquées ou non. Ce qui permet une estimation plus précis et
plus argumentée.
Les valeurs prélevées pour chaque mesure de
sécurité donneront différentes estimations pour un
même incident. Une opération d'agrégation de ces valeurs
résultantes donnera une estimation unique par incident, qu'on combine
avec la probabilité d'occurrence naturelle du
phénomène.
La colonne présente dans cette partie du tableau,
représente le résultat final de l'estimation de
probabilité d'occurrence future des incidents combinés par une
agrégation, pour chaque activité.
A ce niveau pour chaque activité, le niveau du risque
est décrit par le couple gravité et probabilité
d'occurrence.
Il est primordiale de noter que l'usage du mot
probabilité indique réellement indice de probabilité et
non une probabilité normalisé au sens scientifique.
Rapport d'audit de la sécurité Informatique
de l'ONT 50/125
|
Impact
|
Risques actuels
|
Mesures Actuelles
|
Mesures a appliquer
|
Risque residuel
|
|
Activité/Processus
|
DEPT
|
Personnel/Entretient
|
Site/Sujet-Lieu d'entretient
|
|
exigence reglementaire
|
cout
impact strategique
|
Gravité
|
Probabilité
d'occurrence
|
Détectabilité
|
Maitrisablité
|
Mesure de Protection (MP)
|
Mesure de Détection (MD)
|
Plan d'Urgence (PU)
|
Mesure de Protection (MP)
|
Mesure de Détection (MD)
|
Plan d'Urgence (PU)
|
Probabilité d'occurrence
|
Détectabilité
|
Maitrisablité
|
Explication
|
Comptabilité DAF Mr Mohamed Siège Laar 2
-Khaiedin : Coût directeur Pache -Tunis DAF);Mr Acceptable Miz 2m ou2
8eur 3 : Fnne)1 fois par mois
Paie DAF Mr Mohamed Siège Laar 1 -Khaedin :
Coût directeur Pache -Tunis DAF);Mr negligeable Fao la1 d1 1RH)1 : 1 fois
10 ans
Suivi des Engagements et Paiement DAF Mr Mohamed
Siège Laar 4 -Khaiedin : Coût directeur Pache -Tunis DAF);Mr
Insupportable Mizouri 2m ou1 8eur 3 : Fnne)1 fois par mois
Trésorerie DAF Mr Mohamed Siège Laar 4
-Khaiedin : Coût directeur Pache -Tunis DAF);Mr Insupportable Mizouri 1m
ou2 8eur 3 : Fnne)1 fois par mois
Gestion des Approvisionnements DEX Mr Abdessalam
Siège 3 -Khadine Salem : Coût Pach (directeur -Tunis Supportable
DEX);Mr A hi2 1di 6 0 : Epoiaton) 1 fois 50 ans
Messagerie INF Mr Issaam Siège Laarf 4 -Khaiedine
: (ous Coût direteur Pache -Tunis Insupportable DQDR);Mr Moed 2 2hme
16(chef3 : 1 srvce fois par informatique) mois
Affaires Générales DAF Mr Mohamed
Siège Laar 1 -Khaedin : Coût directeur Pache -Tunis DAF);Mr
negligeable Fao la1 d1 1RH)3 : 1 fois par mois
Immobilisation DAF Mr MohamedSiège Laar 1 -Khaedin
: Coût directeur Pache -Tunis DAF);Mr negligeable Mizo 1m ou1 1eur 0 :
Fnne)1 fois 50 ans
Facturation client DC Mr Debbabi Siège Feti 4
-Khaiedine : sous Coût Pah directeur -Tunis Insupportable Commercialee 1
me1 a 43 (Chef : 1 service fois par Commercile)mois
Acces Internet INF Mr Issaam Siège Laarf 1
-Khaedine : (ous Coût direteur Pache -Tunis negligeable DQDR);Mr d1 1hm 1
cef 2 : 1 srvce fois par informatique) ans
Gestion de Carburant DAF Mr Mohamed Siège Laar 1
-Khaedin : Coût directeur Pache -Tunis DAF);Mr negligeable Fao la1 d1
1RH)2 : 1 fois par ans
Gestion de Parc Auto DAF Mr Mohamed
Siège Laar 1 -Khaedin : Coût directeur Pache -Tunis DAF);Mr
negligeable Fao la1 d1 1RH)3 : 1 fois par mois
Ressources Humaines DAF Mr Mohamed Siège Laar 4
-Khaiedin : Coût directeur Pache -Tunis DAF);Mr Insupportable Faouzi la2
2dur16 RH)3 : 1 fois par mois
Bureau d'Ordre DG Mme Rajaa Siège ?? 2 (get
-Khaiedine : Coût bureau Pache d'ordre) -Tunis Acceptable {jort t2 l r 2d
8ter,3 :ec1 fois par mois
Gestion des marchés DQDR Mr AbchouSiège
Feti 1 -Khaedine : (ous Coût direteur Pache -Tunis negligeable
Réalisation 2 meoj 2 4 3 : 1 fois par mois
Gestion de Formation DAF Mr Mohamed Siège Laar 1
-Khaedin : Coût directeur Pache -Tunis DAF);Mr negligeable Fao la1 d1
1RH)1 : 1 fois 10 ans
Pointage DAF Mr Mohamed Siège Laar 1 -Khaedin :
Coût directeur Pache -Tunis DAF);Mr negligeable Fao la1 d1 1RH)2 : 1 fois
par ans
Suivi des Projets DQDR Mr AbchouSiège Feti 1
-Khaedine : (ous Coût direteur Pache -Tunis negligeable
Réalisation 1 meroj 2 2 1 : 1 fois 10 ans
Gestion de l'archive documentaire DAF Mr Mohamed
Siège Laar 1 -Khaedin : Coût directeur Pache -Tunis DAF);Mr
negligeable Fao la1 d1 1RH)0 : 1 fois 50 ans
Vente DC Mr DebbabiSiège Feti 3 -Khaedine : sous
Coût Pah directeur -Tunis Supportable Commerciae 2 me2 mia12 3 (Chef : 1
service fois par Commercile)mois
Exploitation des equipements de diffusion DEX Mr
Abdessalam Siège 4 -Khaidine Salem : Coût Pach (directeur -Tunis
Insupportable DEX);Mr Aye hi2 2 diur 16 3 : Epoiaton) 1 fois par
mois
Gestion des Equipements d'Energie DEX Mr
AbdessalamZaghoueneSa
Maintenace des equipements de diffusion DEX Mr
Abdessalam Siège 1 -Khadine Salem : Coût Pach (directeur -Tunis
negligeable DEX);Mr G 1C so1 1ctur2 : 1 Maintenance) fois par ans
Telesurveillance/Commnde equipement DEX Mr Abdessalam
Siège 3 -Khadine Salem : Coût Pach (directeur -Tunis Supportable
DEX);Mr A hi1 di2 6 1 : Eploiaton) 1 fois 10 ans
Audit et contrôle de gestion DG Mme Siège
Kalthoum 3 Iwz -Khaedine : (chef Coût Pache service -Tunis Supportable
audit) 1 1 3 2 : 1 fois par ans
Direction (Manager) DG Mr Said Sièg Aljene 2 (PDG
-Khaiedine : Coût Pache -Tunis Acceptable 2 1 4 0 : 1 fois 50
ans
Etude de marchés DQDR Mr Issaam Siège Laarf
2 -Khaiedine : (ous Coût direteur Pache -Tunis Acceptable DQDR) 1 2 4 1 :
1 fois 10 ans
Gestion des fréquences DQDR Mr Issaam Siège
Laarf 1 -Khaedine : (ous Coût direteur Pache -Tunis negligeable DQDR) 2 1
2 0 : 1 fois 50 ans
Gestion du SIG DQDR Mr Issaam Siège Laarf 2
-Khaiedine : (ous Coût direteur Pache -Tunis Acceptable DQDR) 1 1 2 2 : 1
fois par ans
Dev. Inf. Projet INF Mr Issaam Siège Laarf 1
-Khaedine : (ous Coût direteur Pache -Tunis negligeable DQDR);Mr d1 1hm
1cef3 : 1 srvce fois par informatique) mois
Dev. Logiciel INF Mr Issaam Siège Laarf 4
-Khaiedine : (ous Coût direteur Pache -Tunis Insupportable DQDR);Mr Moed
2 2hme 16(chef3 : 1 srvce fois par informatique) mois
Télévision Numérique DEX Mr
IssamTourde Laarf 1 contrôle : (ous Coût - direteur Lfayette
negligeable -Tunis DQDR);Mr 1a 1 ( 1 reter 3 : 1 chef fois de parcentre
moistour
Service Internet à Haut Débit (DVBT) DEX Mr
IssamTour deLaarifcontrôle(sous - drecteur Lfayette DQDR);
-Tunis
Par ailleurs, on a remarqué que malgré cette
description, certains risques sont majeurs malgré que leurs
gravités et leurs indices de probabilité soient faibles. Cela
s'explique par le faite qu'ils peuvent être discrets, et difficilement
détectables d'une part, ou bien que s'ils sont détectables, ils
pourront être dévastateurs. Pour remédier à ce
problème, on a ajouté un indice sur la
détectabilité d'un incident et un autre pour décrire s'il
est maîtrisable. Ce qui nous permettra de mieux comparer les risques sur
tous les plans et les niveaux.
Et pour finir et préparer l'analyse à
l'étape suivante à savoir dégager le plan
d'applicabilité et dégager les recommandations, nous avons choisi
de juxtaposer avec ce qui a précéder les mesures actuellement en
place, les mesures envisageables et une prévision des nouveaux indices
de risque par activité après application de ces mesures. De cette
façon les décideurs pourrons analyser l'amélioration,
comparer les investissements dans les nouvelles mesures de
sécurité (préventives, correctives, détectives) et
les gains apportés suite à la diminution du niveau de risque.
Certaines colonnes concernant cette partie sont rendues
masquées explicitement.
Rapport d'audit de la sécurité Informatique
de l'ONT 51/125
Rapport d'audit de la sécurité Informatique
de l'ONT 52/125
6/Identification des Risques
Différentes approches sont suivie durant l'étude
des risques. Certaines commencent par une base de risques exhaustive, d'autres
sont plus ciblées et oriente l'étude selon
le type d'équipement en question. Dans notre mission on a
choisie d'orienter notre étude vers les processus. En effet, au lieu de
faire une étude systématique de tous les
risques qui la plus part d'entre eux, ne risque pas d'avoir lieu.
Ce qui représente d'abord une charge énorme, et peut être
inutile.
On a choisi de cibler notre étude le plus possible, afin
de pouvoir étudier de façon détaillée les
coûts et les aspects relatifs à ces risques. Pour cela, on s'est
basé sur la
classification des processus, activités, fonctions et
services afin de se focaliser sur les risques qui menacent les ressources et
équipements qui hébergent ou participent
dans les processus et activités les plus utiles pour
l'organisme. 7/Classification des Risques
7.1/Evaluation de gravité
La formule qui a été utilisée pour calculer
le degré de gravité d'un incident, étant basée sur,
tout d'abord l'impact financier résiduel intégrant les
coûts de
rétablissement du service, fonction activité ou
processus, des coûts de recouvrement des données, les coûts
conséquentes d'interruption de l'activité, processus, fonction ou
service, ainsi que des acquisitions ou réparations éventuels.
En effet, la gravité a été
évaluée au produit de la multiplication des critères
mentionnés plus particulièrement le produit entre
coût impact financier, impact stratégique et exigence
légale.
L'aspect exigence légale a été introduit
à cause de l'importance des pénalités fiscales qui
pourrons avoir lieu suite à la perte de l'activité ou des
données comptable de l'organisme. Certaines autres activités sont
également sensibles et serviront de support stratégique pour
l'état et pour les organismes et ministère. Pour cela ont a
choisi d'introduire un autre indice décrivant cet aspect
stratégique.
Les coûts de réparation, de recouvrement de
données, d'arrêt de services sont intégrés ensemble
dans le coût financier.
7.2/Evaluation de probabilité
d'occurrence
|
Mesures actuellement en place
|
|
|
|
Mesure
|
Docmentée
|
Appliquée
|
Inssuffisance
|
Occurrences Antéieurs
|
Probabilité Actuelle
|
|
1
|
procedure d'ouverture des plis
|
1
|
2
|
2
|
4
|
16
|
|
|
2
|
|
|
|
|
|
|
|
|
3
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
"=moynne de ()"
|
|
|
|
|
|
|
|
|
I
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
D
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
N
|
La probabilité d'occurrence relative à un
incident est calculé sur la base de sa probabilité d'occurrence
naturelle liée à la nature du risque, au faite qu'il existe des
mesures, si ces mesures sont documentées, si elles sont
appliquées, si elles sont
efficaces (suffisantes) et sur l'historique d'occurrence du
même incident (nombre d'occurrences antérieurs). La fonction de
calcul utilisé étant le produit entre ces
indices.
7.3/Choix des mesures
A ce niveau, le décideur pourra préciser les
seuils au dessus desquels il considérera les risques inacceptables. En
effet, parmi les critères possibles, la gravité du
incident. Dans cet exemple, il a été
décidé que les incidents ayant une gravité
Rapport d'audit de la sécurité Informatique
de l'ONT 53/125
Rapport d'audit de la sécurité Informatique
de l'ONT 54/125
supérieure à 2 dans la table des indices de
gravité (voir taxonomie) seront trop pour être acceptés.
Par ailleurs, il a été décidé que
les incident ayant une probabilité d'occurrence supérieur
à 2 et une détectabilité également supérieur
à 2 ainsi qu'une maîtrisabilité de 0 ou de 1 seront
également considéré comme des risques qu'il faut
éliminer que ce soit en réduisant leurs gravité, que ce
soit en réduisant leurs degré incidence et cela en mettant en
oeuvre des mesures de protection, des mesures de détections ou des plan
d'urgence.
|
|
|
|
|
|
|
|
|
|
Impacts
|
Risques
|
Mesures
|
|
|
Gravité
|
Probabilité
|
Détectabilité
|
Maîtrisabilité
|
MP
|
MD
|
PU
|
|
|
>=2
|
>= 2
|
>= 2
|
>= 2
|
·
|
·
|
·
|
|
|
>=2
|
>= 2
|
>= 2
|
0 ou 1
|
·
|
·
|
|
|
|
>=2
|
>= 2
|
0 ou 1
|
>= 2
|
·
|
|
·
|
|
|
>=2
|
>= 2
|
0 ou 1
|
0 ou 1
|
·
|
|
|
|
|
|
|
|
|
|
|
|
|
Ce tableau de seuils permet alors d'orienter le décideur
vers le type de mesures à entreprendre qu'elle soit préventive,
détective ou corrective.
7.4/Classification gravité/Probabilité
d'occurrence
Cette étape est réalisé par le
système d'analyse des risques et se base sur la
taxonomie définie et sur les données introduites
dans les étapes précédentes.
En réalité il examines les fiches
d'identification des risques recensés, la listes des processus,
activités, fonctions, services et la listes des équipements sur
lesquels se déroulent ces processus ou activités, calculera la
gravité et la probabilité d'occurrence pour chaque type
d'incident qui risque d'atteindre un équipement altérant ainsi
une activité ou un processus.
Dans l'exemple ci-après est exposé le
résultat d'analyses préliminaires représentant le calcul
du nombre d'occurrences d'incidents classés par gravité et par
probabilité d'occurrence avec les totaux en lignes et en colonnes.
Ainsi dans une totalité de 30 activités, il y en
a 4 activité atteintes par des risques très probables (1 fois par
mois) et dont la gravité est élevé (gravité de 16).
En effet, cette analyse permet au décideur de choisir une région
où il ne veut plus supporter les conséquences. Dans cette
illustration il s'agit de la région allant de la gravité de 6
à la gravité de 16 et de la probabilité 2 à la
probabilité 3 et qui touche à 9 activités ou processus.
|
NB Activité/ProcessusProbabilité
|
d'occurrence
|
|
Gravité
|
0 : 1 fois 50 ans 1 : 1 fois 10 ans 2 : 1 fois par ans 3 : 1
fois par mois
|
Total
|
|
1
|
·
·
·
·
·
·
·
·
·
·
|
·
·
·
·
·
·
·
·
·
·
·
|
11 activité(s)
|
|
2
|
3 activité(s)
|
|
3
|
1 activité(s)
|
|
4
|
4 activité(s)
|
|
6
|
|
|
2 activité(s)
|
|
8
|
|
·
·
·
·
|
4 activité(s)
|
|
12
|
|
·
|
1 activité(s)
|
|
16
|
|
·
·
·
·
|
4 activité(s)
|
|
Total
|
5 activité(s) 5 activité(s) 6
activité(s) 14 activité(s)
|
30 activité(s)
|
Niveau inicateur de resultat : Niveu de risque (CDIN) Indicateur
de moyens
A ce niveau, on pourra aussi affiner nos analyses en
appliquant des restrictions plus fortes telle que l'analyse des
activités ciblées par des incidents atteignant
l'intégrité, ou la disponibilité des données de
l'activité en question.
Rapport d'audit de la sécurité Informatique
de l'ONT 55/125
NB CIA
Probabilité d'occurrence
Gravité
0 : 1 fois 50 ans
|
Confidentialité
|
(Tous)
|
|
Integrité
|
(Tous)
|
|
Non Répudiation
|
(Tous)
|
|
Disponibilité
|
(Tous)
|
2 activité(s) 2 activité(s) 4 activité(s) 3
activité(s) 11 activité(s)
1 activité(s) 1 activité(s) 1 activité(s)
1 activité(s)
1 activité(s) 1 activité(s) 2 activité(s)
1 activité(s) 1 activité(s)
4 activité(s)
1 activité(s)
4 activité(s)
3 activité(s)
1 activité(s)
4 activité(s)
2 activité(s) 4 activité(s) 1
activité(s) 4 activité(s)
5 activité(s) 5 activité(s) 6 activité(s) 14
activité(s) 30 activité(s)
1 : 1 fois 10 ans
2 : 1 fois par ans
3 : 1 fois par mois
Total
1
2
3
4
6
8
12
16
Total
8/Génération des tableaux de
bord
Une fois, le Système RIAMS a été
paramètre et alimenté par les informations nécessaires
précédemment exposées, il permettra de
générer un tableau de bord sous forme de table croisée
dynamique d'aide à la décision disposant les différents
axes et les mesures élaborés.
Dans le figure ci-dessous, on a visualisé la
gravité des incidents sur l'axe des abscisses, la probabilité
d'occurrence calculée sur l'axe des ordonnées et le nombre de
risques menaçant l'organisme sur l'axe z.
D'autres tableaux plus spécifiques sont possibles,
exposant les charges financières à la place du nombre de risques.
L'aspect confidentiel de ces tableaux ne permet pas leur intégration
dans le présent document.
Rapport d'audit de la sécurité Informatique
de l'ONT 56/125
Par ailleurs, des opérations de filtrage et de
pivotement sont possibles également. En effet, il est souvent
nécessaire de pouvoir visualiser les mêmes analyses mais de les
restreindre uniquement aux risques relatifs à l'aspect
disponibilité, ou bien de représenter sur l'un des axes les
coûts résiduelles par aspect (C ou D ou I ou N) afin de pouvoir
juger lequel des aspect de lé sécurité étant le
plus touché par les risques.
Cette flexibilité a été atteinte,
grâce au faite qu'on a considéré dés le
départ que le RIAMS est tout d'abord un système d'information qui
devra gérer de façon flexible et évolutive les risques.
Les sorties de ce système d'information étant exploitable dans
les outils de bureautique, de gestion de réseaux ou de PAO/DAO.
Rapport d'audit de la sécurité Informatique
de l'ONT 57/125
La figure ci-dessus expose les analyses d'une autre
façon, cependant nous remarquons les indices de filtrage en haut
à gauche permettant de sélectionner le critère pour les
risque à aspect touchant à la confidentialité, par exemple
n'introduire que les risque ayant un classement 2 ou supérieur pour la
confidentialité, dans l'analyse.
A droite du graphique, une légende permettant de
distinguer la signification des barres colorées dans le graphique. Ici
c'est le classement couleur de la probabilité d'occurrence. Par
ailleurs, on remarque la liste des champs qu'on pourra les intégrer dans
le graphique et dans l'analyse par opération de glisser déposer.
Dans cette visualisation, le champs Activité//Processus
représenté en gras, a été intégré sur
l'axe z avec la fonction de calcul NB(Activité//Processus)
déjà visible sur le coin haut gauche.
Rapport d'audit de la sécurité Informatique
de l'ONT 58/125
9/Recherche des causes par les diagrammes
ICHIKAWA
Figure : Diagramme ICHIKAWA
Par le biais de ce diagramme, conçu par ICHIKAWA durant
les années 40, on pourra remonter vers les cause d'un incident de
sécurité mettant en question l'un des aspects de la
sécurité, à savoir, la confidentialité,
l'intégrité, la disponibilité et la non
répudiation. Dans la figure ci-dessus, on a représenté
l'implémentation du questionnaire relatif à la perte
d'intégrité. Les différentes catégories des causes
éventuelles de l'incident, sont représentées sous forme de
rives de part et d'autre, portant chacune en graduel les causes possibles avec
des champs de saisie pour indiquer le degré de
maîtrisabilité, de probabilité et de
détectabilité de chacune des causes éventuelles.
Rapport d'audit de la sécurité Informatique
de l'ONT 59/125
La légende en bas à droite, indique le
système d'indexes utilisé pour remplir ces champs. Par ailleurs,
le cartouche en bas indique le processus ou l'activité ciblé par
l'incident, et l'information altérée par l'incident, ainsi que la
formule qui devra être appliquer pour calculé le niveau d'impact
sur le plan Intégrité de cette données des
différentes causes élémentaires reportées
respectivement sur les rives.
En haut, un autre cartouche porte l'information
signalétique du diagramme et la gestion des versions et
l'approbation.
Ces diagrammes ont été adoptés pour
enrichir notre système de management de risques, en intégration
un mécanisme de feed-back permettant la recherche des causes source d'un
impact CDIN sur l'une des information, activités ou processus.
Rapport d'audit de la sécurité Informatique
de l'ONT 60/125
Audit Niveau 2
Audit technique
Rapport d'audit de la sécurité Informatique
de l'ONT 61/125
Rapport d'audit de la sécurité Informatique
de l'ONT 62/125
| 
