BIBLIOGRAPHIE
[1] Méthode de gestion de risque, 2010.
[2] [En ligne]. Available:
https://fr.m.wikipedia.org/wiki/Plan_de_reprise_d'activité.
[3] A. COURSAGET, Guide pour réaliser un PCA, 2013.
[4] CLUSIF, Éd., Stratégie et solution de SI,
CLUSIF, 2007.
[5] CLUSIF, Stratégie et solution de secours du SI,
Paris: CLUSIF, 2009.
[6] «Wikipedi,» 16 Février 2017. [En ligne].
Available:
https://fr.m.wikipedia.org/wiki/Réplicaiton_(information).
[Accès le 16 Février 2017]. [7] «ysosecure,» 01 Mars
2017. [En ligne]. Available:
https://www.ysosecure.com/principes/management-risques-systeme-d-information.html.
[Accès le 01 Mars 2017].
[8] «Wikipedia,» 20 Mai 2017. [En ligne].
Available:
https://fr.m.wikipedia.org/wiki/réseau_étendu.
[Accès le 20 Mai 2017].
[9] G. Pujolle, Les Réseaux, 2008.
[10] M. BENNASAR, Plan de continuité d'activité et
système d'information, Paris: DUNOD, 2012.
[11] E. BESLUAU, Management de la continuité
d'activité, Paris: DUNOD, 2012.
[12] P. française, Guide pour réaliser un plan de
continuité d'activité, Paris: SGDSN, 2013.
69 | P a g e
ANNEXE
Tableau 14. Vulnérabilités spécifiques
(Suite du tableau 7)
N°
Menace
|
Libellé vulnérabilités
|
Matériel & réseau
|
Réseau internes
|
Réseau externes
|
Site
|
Personnel
|
Organisationnel
|
Libellé risque
|
|
Absence des mesures d'anti incendie
|
|
|
|
0.25
|
|
|
R1-1
|
1
|
Insuffisance des mesures d'anti incendie avec le
système
|
|
|
|
0.25
|
|
|
R1-2
|
|
Manque de consigne de sécurité incendie
|
|
|
|
|
|
0.25
|
R1-3
|
|
Facilité d'écoute par de moyens optiques
|
|
|
|
0
|
|
|
R15-1
|
|
Facilité de surveiller de l'activité
|
|
|
|
0
|
|
|
R15-2
|
15
|
|
|
|
|
|
|
|
|
|
Faible organisation de sécurité
|
|
|
|
|
|
0.25
|
R15-3
|
|
Absence de sensibilisation aux problèmes de
sécurité
|
|
|
|
|
|
0.25
|
R15-4
|
|
Pénétration facile sur le site
|
|
|
|
0.25
|
|
|
R17-1
|
|
Pénétration facile dans les locaux
|
|
|
|
0.25
|
|
|
R17-2
|
17
|
Manque de l'attention
|
|
|
|
|
|
0.50
|
R17-3
|
|
Presque pas de règles morales ou d'éthique
|
|
|
|
|
|
0
|
R17-4
|
|
Moins de sensibilisation aux problèmes de
sécurité
|
|
|
|
|
|
0.25
|
R17-5
|
|
Matériel attractif (voleur marchande, technologique)
|
0
|
|
|
|
|
|
R18-1
|
18
|
Matériel transportable (mobile, portable,...)
|
0.25
|
|
|
|
|
|
R18-2
|
|
Matériel moins encombrant
|
|
0.25
|
|
|
|
|
R18-3
|
70 | P a g e
|
Pénétration facile sur le site
Pénétration facile dans les locaux Facilité de passer les
accès contrôlés Pénétration facile des
accès interdits
|
|
|
|
0.25 0.25 0.50 0.50
|
|
|
R18-4 R18-5 R18-6 R18-7
|
|
Manque des règles morales ou d'éthique
|
|
|
|
|
0
|
|
R18-8
|
|
Manque de sensibilisation aux problèmes de
sécurité
|
|
|
|
|
|
0.25
|
R18-9
|
|
Absence de prise en compte du matériel par
l'utilisateur
|
|
|
|
|
|
0.75
|
R18-10
|
|
Partage facile des informations (disque dur, messagerie,
téléphone,...)
|
0.50
|
0.75
|
|
|
|
|
R19-1
|
|
Réseau facilitant la divulgation à
l'extérieur de l'organisme
|
|
|
0.50
|
|
|
|
R19-2
|
|
d'information (fax, messagerie,...)
|
|
|
|
|
0.25
|
|
|
19
|
Non-respect du devoir de réserve
|
|
|
|
|
|
|
R19-3
|
|
Presque pas de sensibilisation aux problèmes de
sécurité
|
|
|
|
|
0.25
|
|
R19-4
|
|
Manque de procédure efficace de surveillance de
l'utilisation des outils d'échange.
|
|
|
|
|
|
0.75
|
R19-5
|
|
Manque de sensibilisation aux problèmes de
confidentialité.
|
|
|
|
|
|
0.25
|
R19-6
|
|
Partage facile des informations (disque dur, messagerie,
|
0.50
|
0.75
|
|
|
|
|
|
|
téléphone,...)
|
|
|
|
|
|
|
R20-1
|
20
|
|
|
|
|
|
|
|
|
|
Réseau facilitant la divulgation à
l'extérieur de l'organisme
|
|
|
0.50
|
|
|
|
|
|
d'information (fax, messagerie,...)
|
|
|
|
|
|
|
R20-2
|
71 | P a g e
|
Non-respect du devoir de réserve
Obtention d'un avantage
Personnel manipulable
Presque pas de sensibilisation aux problèmes de
sécurité
|
|
|
|
|
0.25
0.25
0.5
|
|
R20-3 R20-4 R20-5 R20-6
|
|
Possibilité d'additionner les matériels pour
intercepter
|
0.25
|
0.25
|
|
|
|
|
R22-1
|
|
Facilité d'entrer dans le site
|
|
|
|
0.25
|
|
|
R22-2
|
|
Facilité d'entrer dans les locaux
|
|
|
|
0.25
|
|
|
R22-3
|
|
Facilité de franchir les accès
contrôlés
|
|
|
|
0.50
|
|
|
R22-4
|
22
|
|
|
|
|
|
|
|
|
|
Facilité de passer par des accès interdits
|
|
|
|
0
|
|
|
R22-5
|
|
Obtention d'un avantage
|
|
|
|
|
0.50
|
|
R22-6
|
|
Personnel manipulable
|
|
|
|
|
0.50
|
|
R22-7
|
|
Absence de plan de supervision des matériels
|
|
|
|
|
|
0.50
|
R22-8
|
|
Possibilité de créer ou de modifier des commandes
système
|
0.25
|
0.25
|
|
|
|
|
R23-1
|
|
Possibilité d'installer des programmes pirates
|
0.5
|
0.5
|
|
|
|
|
R23-2
|
|
Possibilité de modifier ou troquer les applications
|
0.5
|
0.5
|
|
|
|
|
R23-3
|
23
|
|
|
|
|
|
|
|
|
|
Possibilité d'existence de fonction cachée
insérées lors du développement et conception
|
0
|
0
|
|
|
|
|
R23-4
|
|
Utilisation de matériel non identifié
|
0.25
|
|
|
|
|
|
R23-5
|
72 | P a g e
|
Possibilité de supprimer ou modifier les fichiers-
programmes
Possibilité de modifier ou d'agir sur le logiciel des
ressources du système à partir du réseau
Pénétration facile dans le site
|
0.5
|
0.5
|
0
|
0.25
|
|
|
R23-6
R23-7
R23-8
|
|
Pénétration facile dans les locaux
|
|
|
|
0.25
|
|
|
R23-9
|
|
Facilité de passer des accès
contrôlé
|
|
|
|
0.50
|
|
|
R23-10
|
|
Facilité de passer des accès indirects
|
|
|
|
0
|
|
|
R23-11
|
|
Manque des règles morales d'éthique
|
|
|
|
|
0
|
|
R23-12
|
|
Obtention d'un avantage
|
|
|
|
|
0.50
|
|
R23-13
|
|
L'incertitude entre personnes
|
|
|
|
|
0.75
|
|
R23-14
|
|
Personne manipulable
|
|
|
|
|
0.5
|
|
R23-15
|
|
Manque de mesures de sécurité dans les phases de
conception, installation et exploitation
|
|
|
|
|
|
0.75
|
R23-16
|
|
Fiabilité des ressources
|
0.25
|
0.25
|
|
|
|
|
R28-1
|
|
Défaut de maintenance
|
0.25
|
0.25
|
|
|
|
|
R28-2
|
28
|
Utilisation abusive
|
0.25
|
0.25
|
|
|
|
|
R28-3
|
|
Manque d'un service responsable de la maintenance
|
|
|
|
|
|
0
|
R28-4
|
|
Manque de consignes de « devoir de réserve »
|
|
|
|
|
|
0
|
R28-5
|
41
|
Système permettant l'accès aux données de
l'entreprise
|
0.25
|
|
|
|
|
|
R41-1
|
73 | P a g e
|
Possibilité d'opérer sur les données
transmises par l'intermédiaire du média de communication
|
|
0.50
|
0.50
|
|
|
|
R41-2
|
|
Facilité d'entrer dans le site
|
|
|
|
0.25
|
|
|
R41-3
|
|
Facilité d'entrer dans les locaux
|
|
|
|
0.25
|
|
|
R41-4
|
|
Facilité de franchir le contrôle d'accès
|
|
|
|
0.5
|
|
|
R41-5
|
|
Facilité de passer par des accès interdits
|
|
|
|
0
|
|
|
R41-6
|
|
Obtention d'un avantage
|
|
|
|
|
0.5
|
|
R41-7
|
|
L'incertitude entre personnes
|
|
|
|
|
0.75
|
|
R41-8
|
|
Personne manipulable
|
|
|
|
|
0.5
|
|
R41-9
|
|
Le système est accessible par tout le monde
|
0.75
|
0.75
|
|
|
|
|
R42-1
|
|
Nécessité d'intervention humaine pour le
traitement
|
0.75
|
0.75
|
|
|
|
|
R42-2
|
|
Le réseau permet d'utiliser les services du
système depuis l'extérieur sans authentification
|
|
|
0.5
|
|
|
|
R42-3
|
|
Problème de responsabilité
|
|
|
|
|
0.5
|
|
R42-3
|
42
|
|
|
|
|
|
|
|
|
|
Manque de confiance dans l'organisation
|
|
|
|
|
0.5
|
|
R42-4
|
|
L'incertitude entre personnes
|
|
|
|
|
0.75
|
|
R42-5
|
|
Probabilité d'utiliser les ressources sans
contrôle (matériel en libre-service)
|
|
|
|
|
|
0.25
|
R43-6
|
|
Pas de définition de responsabilités
|
|
|
|
|
|
0.25
|
R43-7
|
|
|
0.50
|
0.50
|
|
|
|
|
R43-1
|
|
Connexion du système aux réseaux externes
|
|
|
|
|
|
|
|
|
|
|
|
0.25
|
|
|
|
|
|
Le réseau donne la possibilité aux personnes de
tenter de
|
|
|
|
|
|
|
|
|
bénéficier des droits qu'ils n'ont pas
|
|
|
|
|
|
|
R43-2
|
|
|
|
|
|
|
0
|
|
|
43
|
Manque de règles morales ou d'éthique
|
|
|
|
|
|
|
|
|
|
|
|
|
|
0.75
|
|
R43-3
|
|
Obtention d'un avantage
|
|
|
|
|
|
|
|
|
|
|
|
|
|
0.50
|
|
R43-4
|
|
L'incertitude entre personnes
|
|
|
|
|
|
|
|
|
|
|
|
|
|
0.50
|
|
R43-5
|
|
Accord de droits en dehors du besoin légal
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
R43-6
|
74 | P a g e
75 | P a g e
TABLE DE MATIERE
EPIGRAPHE I
DEDICACE II
AVANT PROPOS III
LISTE DES ABREVIATIONS IV
LISTE DE FIGURES VI
LISTE DE TABLEAUX VII
0. INTRODUCTION GENERALE 1
0.1. Présentation du sujet 1
0.2. Choix et intérêt du sujet 2
0.3. Problématique 2
0.4. Hypothèses 3
0.5. Méthodes et techniques 4
0.6. Délimitation du sujet 5
0.7. Présentation sommaire du travail
5
CHAPITRE I. ETAT DE L'ART DU PLAN DE REPRISE D'ACTIVITE
6
I.1. NOTIONS GENERALES SUR LE PLAN DE REPRISE D'ACTIVITE
6
I.1.1. Définition des concepts de bases et
connexes 6
I.1.2. Principe de plan de reprise d'activité
8
I.1.3. Contenu d'un PRA 11
I.1.4. Périmètre du PRA 12
I.2. TYPES DE SAUVEGARDE 13
I.2.1. Sauvegarde physique 13
I.2.2. Sauvegarde logique 14
I.2.3. Techniques de réplication 14
Conclusion partielle 18
CHAPITRE II. PRESENTATION DU CENTRE DES IMPOTS DE
LUBUMBASHI 19
II.1. ETUDE DE CONTEXTE 19
II.1.1. Etude de l'organisation 19
II.1.1.1. Présentation de l'organisation
19
II.1.1.2. Etude de l'organisation cible 20
II.1.1.3. Organigramme 22
II.1.1.4. Architecture physique du cdi/Lubumbashi 23
II.1.1.5. Contraintes 24
76 | P a g e
II.1.2. Etude du système cible 25
II.1.3. Détermination de la cible de
l'étude 26
II.1.4. Diagnostic de l'existant 29
II.1.5. Architecture proposée 30
CHAPITRE III. GESTION DE RISQUES 31
III.1. THEORIES SUR RISQUES 31
III.1.1. Les étapes de risques 32
III.1.2. Détermination des activités
critiques 33
III.1.3. Conséquence sur les actifs 34
III.2. APPLICATION DE LA METHODE 35
III.2.1. ETUDE DE CONTEXTE (cfr. Chapitre 2)
35
III.2.2. EXPRESSION DE BESOIN DE SECURITE 35
III.2.3. ETUDE DES MENACES 39
III.2.4. ANALYSE DES RISQUES 43
III.2.5. ETUDE DES MESURES DE SECURITE 53
CHAPITRE IV. IMPLEMENTATION DE LA REPLICATION DFS
56
IV.1. Interconnexion de sites distants 56
IV.1.1. Techniques d'interconnexion des sites 56
IV.2. Présentation de DFS-R 58
IV.3. Mise en place 59
IV.4. Evaluation de coût 65
CONCLUSION GENERALE 66
BIBLIOGRAPHIE 68
ANNEXE 69
TABLE DE MATIERE 75
|